eb2211d60f3d0a38cdf03c924b20b7d1d9b91013
[users/heiko/exim.git] / src / src / acl.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2014 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Code for handling Access Control Lists (ACLs) */
9
10 #include "exim.h"
11
12
13 /* Default callout timeout */
14
15 #define CALLOUT_TIMEOUT_DEFAULT 30
16
17 /* ACL verb codes - keep in step with the table of verbs that follows */
18
19 enum { ACL_ACCEPT, ACL_DEFER, ACL_DENY, ACL_DISCARD, ACL_DROP, ACL_REQUIRE,
20        ACL_WARN };
21
22 /* ACL verbs */
23
24 static uschar *verbs[] = {
25     US"accept",
26     US"defer",
27     US"deny",
28     US"discard",
29     US"drop",
30     US"require",
31     US"warn" };
32
33 /* For each verb, the conditions for which "message" or "log_message" are used
34 are held as a bitmap. This is to avoid expanding the strings unnecessarily. For
35 "accept", the FAIL case is used only after "endpass", but that is selected in
36 the code. */
37
38 static int msgcond[] = {
39   (1<<OK) | (1<<FAIL) | (1<<FAIL_DROP),  /* accept */
40   (1<<OK),                               /* defer */
41   (1<<OK),                               /* deny */
42   (1<<OK) | (1<<FAIL) | (1<<FAIL_DROP),  /* discard */
43   (1<<OK),                               /* drop */
44   (1<<FAIL) | (1<<FAIL_DROP),            /* require */
45   (1<<OK)                                /* warn */
46   };
47
48 /* ACL condition and modifier codes - keep in step with the table that
49 follows, and the cond_expand_at_top and uschar cond_modifiers tables lower
50 down. */
51
52 enum { ACLC_ACL,
53        ACLC_ADD_HEADER,
54        ACLC_AUTHENTICATED,
55 #ifdef EXPERIMENTAL_BRIGHTMAIL
56        ACLC_BMI_OPTIN,
57 #endif
58        ACLC_CONDITION,
59        ACLC_CONTINUE,
60        ACLC_CONTROL,
61 #ifdef EXPERIMENTAL_DCC
62        ACLC_DCC,
63 #endif
64 #ifdef WITH_CONTENT_SCAN
65        ACLC_DECODE,
66 #endif
67        ACLC_DELAY,
68 #ifdef WITH_OLD_DEMIME
69        ACLC_DEMIME,
70 #endif
71 #ifndef DISABLE_DKIM
72        ACLC_DKIM_SIGNER,
73        ACLC_DKIM_STATUS,
74 #endif
75 #ifdef EXPERIMENTAL_DMARC
76        ACLC_DMARC_STATUS,
77 #endif
78        ACLC_DNSLISTS,
79        ACLC_DOMAINS,
80        ACLC_ENCRYPTED,
81        ACLC_ENDPASS,
82        ACLC_HOSTS,
83        ACLC_LOCAL_PARTS,
84        ACLC_LOG_MESSAGE,
85        ACLC_LOG_REJECT_TARGET,
86        ACLC_LOGWRITE,
87 #ifdef WITH_CONTENT_SCAN
88        ACLC_MALWARE,
89 #endif
90        ACLC_MESSAGE,
91 #ifdef WITH_CONTENT_SCAN
92        ACLC_MIME_REGEX,
93 #endif
94        ACLC_RATELIMIT,
95        ACLC_RECIPIENTS,
96 #ifdef WITH_CONTENT_SCAN
97        ACLC_REGEX,
98 #endif
99        ACLC_REMOVE_HEADER,
100        ACLC_SENDER_DOMAINS,
101        ACLC_SENDERS,
102        ACLC_SET,
103 #ifdef WITH_CONTENT_SCAN
104        ACLC_SPAM,
105 #endif
106 #ifdef EXPERIMENTAL_SPF
107        ACLC_SPF,
108        ACLC_SPF_GUESS,
109 #endif
110        ACLC_UDPSEND,
111        ACLC_VERIFY };
112
113 /* ACL conditions/modifiers: "delay", "control", "continue", "endpass",
114 "message", "log_message", "log_reject_target", "logwrite", and "set" are
115 modifiers that look like conditions but always return TRUE. They are used for
116 their side effects. */
117
118 static uschar *conditions[] = {
119   US"acl",
120   US"add_header",
121   US"authenticated",
122 #ifdef EXPERIMENTAL_BRIGHTMAIL
123   US"bmi_optin",
124 #endif
125   US"condition",
126   US"continue",
127   US"control",
128 #ifdef EXPERIMENTAL_DCC
129   US"dcc",
130 #endif
131 #ifdef WITH_CONTENT_SCAN
132   US"decode",
133 #endif
134   US"delay",
135 #ifdef WITH_OLD_DEMIME
136   US"demime",
137 #endif
138 #ifndef DISABLE_DKIM
139   US"dkim_signers",
140   US"dkim_status",
141 #endif
142 #ifdef EXPERIMENTAL_DMARC
143   US"dmarc_status",
144 #endif
145   US"dnslists",
146   US"domains",
147   US"encrypted",
148   US"endpass",
149   US"hosts",
150   US"local_parts",
151   US"log_message",
152   US"log_reject_target",
153   US"logwrite",
154 #ifdef WITH_CONTENT_SCAN
155   US"malware",
156 #endif
157   US"message",
158 #ifdef WITH_CONTENT_SCAN
159   US"mime_regex",
160 #endif
161   US"ratelimit",
162   US"recipients",
163 #ifdef WITH_CONTENT_SCAN
164   US"regex",
165 #endif
166   US"remove_header",
167   US"sender_domains", US"senders", US"set",
168 #ifdef WITH_CONTENT_SCAN
169   US"spam",
170 #endif
171 #ifdef EXPERIMENTAL_SPF
172   US"spf",
173   US"spf_guess",
174 #endif
175   US"udpsend",
176   US"verify" };
177
178
179 /* Return values from decode_control(); keep in step with the table of names
180 that follows! */
181
182 enum {
183   CONTROL_AUTH_UNADVERTISED,
184   #ifdef EXPERIMENTAL_BRIGHTMAIL
185   CONTROL_BMI_RUN,
186   #endif
187   CONTROL_DEBUG,
188   #ifndef DISABLE_DKIM
189   CONTROL_DKIM_VERIFY,
190   #endif
191   #ifdef EXPERIMENTAL_DMARC
192   CONTROL_DMARC_VERIFY,
193   CONTROL_DMARC_FORENSIC,
194   #endif
195   CONTROL_DSCP,
196   CONTROL_ERROR,
197   CONTROL_CASEFUL_LOCAL_PART,
198   CONTROL_CASELOWER_LOCAL_PART,
199   CONTROL_CUTTHROUGH_DELIVERY,
200   CONTROL_ENFORCE_SYNC,
201   CONTROL_NO_ENFORCE_SYNC,
202   CONTROL_FREEZE,
203   CONTROL_QUEUE_ONLY,
204   CONTROL_SUBMISSION,
205   CONTROL_SUPPRESS_LOCAL_FIXUPS,
206   #ifdef WITH_CONTENT_SCAN
207   CONTROL_NO_MBOX_UNSPOOL,
208   #endif
209   CONTROL_FAKEDEFER,
210   CONTROL_FAKEREJECT,
211   CONTROL_NO_MULTILINE,
212   CONTROL_NO_PIPELINING,
213   CONTROL_NO_DELAY_FLUSH,
214   CONTROL_NO_CALLOUT_FLUSH
215 };
216
217 /* ACL control names; keep in step with the table above! This list is used for
218 turning ids into names. The actual list of recognized names is in the variable
219 control_def controls_list[] below. The fact that there are two lists is a mess
220 and should be tidied up. */
221
222 static uschar *controls[] = {
223   US"allow_auth_unadvertised",
224   #ifdef EXPERIMENTAL_BRIGHTMAIL
225   US"bmi_run",
226   #endif
227   US"debug",
228   #ifndef DISABLE_DKIM
229   US"dkim_disable_verify",
230   #endif
231   #ifdef EXPERIMENTAL_DMARC
232   US"dmarc_disable_verify",
233   US"dmarc_enable_forensic",
234   #endif
235   US"dscp",
236   US"error",
237   US"caseful_local_part",
238   US"caselower_local_part",
239   US"cutthrough_delivery",
240   US"enforce_sync",
241   US"no_enforce_sync",
242   US"freeze",
243   US"queue_only",
244   US"submission",
245   US"suppress_local_fixups",
246   #ifdef WITH_CONTENT_SCAN
247   US"no_mbox_unspool",
248   #endif
249   US"fakedefer",
250   US"fakereject",
251   US"no_multiline_responses",
252   US"no_pipelining",
253   US"no_delay_flush",
254   US"no_callout_flush"
255 };
256
257 /* Flags to indicate for which conditions/modifiers a string expansion is done
258 at the outer level. In the other cases, expansion already occurs in the
259 checking functions. */
260
261 static uschar cond_expand_at_top[] = {
262   FALSE,   /* acl */
263   TRUE,    /* add_header */
264   FALSE,   /* authenticated */
265 #ifdef EXPERIMENTAL_BRIGHTMAIL
266   TRUE,    /* bmi_optin */
267 #endif
268   TRUE,    /* condition */
269   TRUE,    /* continue */
270   TRUE,    /* control */
271 #ifdef EXPERIMENTAL_DCC
272   TRUE,    /* dcc */
273 #endif
274 #ifdef WITH_CONTENT_SCAN
275   TRUE,    /* decode */
276 #endif
277   TRUE,    /* delay */
278 #ifdef WITH_OLD_DEMIME
279   TRUE,    /* demime */
280 #endif
281 #ifndef DISABLE_DKIM
282   TRUE,    /* dkim_signers */
283   TRUE,    /* dkim_status */
284 #endif
285 #ifdef EXPERIMENTAL_DMARC
286   TRUE,    /* dmarc_status */
287 #endif
288   TRUE,    /* dnslists */
289   FALSE,   /* domains */
290   FALSE,   /* encrypted */
291   TRUE,    /* endpass */
292   FALSE,   /* hosts */
293   FALSE,   /* local_parts */
294   TRUE,    /* log_message */
295   TRUE,    /* log_reject_target */
296   TRUE,    /* logwrite */
297 #ifdef WITH_CONTENT_SCAN
298   TRUE,    /* malware */
299 #endif
300   TRUE,    /* message */
301 #ifdef WITH_CONTENT_SCAN
302   TRUE,    /* mime_regex */
303 #endif
304   TRUE,    /* ratelimit */
305   FALSE,   /* recipients */
306 #ifdef WITH_CONTENT_SCAN
307   TRUE,    /* regex */
308 #endif
309   TRUE,    /* remove_header */
310   FALSE,   /* sender_domains */
311   FALSE,   /* senders */
312   TRUE,    /* set */
313 #ifdef WITH_CONTENT_SCAN
314   TRUE,    /* spam */
315 #endif
316 #ifdef EXPERIMENTAL_SPF
317   TRUE,    /* spf */
318   TRUE,    /* spf_guess */
319 #endif
320   TRUE,    /* udpsend */
321   TRUE     /* verify */
322 };
323
324 /* Flags to identify the modifiers */
325
326 static uschar cond_modifiers[] = {
327   FALSE,   /* acl */
328   TRUE,    /* add_header */
329   FALSE,   /* authenticated */
330 #ifdef EXPERIMENTAL_BRIGHTMAIL
331   TRUE,    /* bmi_optin */
332 #endif
333   FALSE,   /* condition */
334   TRUE,    /* continue */
335   TRUE,    /* control */
336 #ifdef EXPERIMENTAL_DCC
337   FALSE,   /* dcc */
338 #endif
339 #ifdef WITH_CONTENT_SCAN
340   FALSE,   /* decode */
341 #endif
342   TRUE,    /* delay */
343 #ifdef WITH_OLD_DEMIME
344   FALSE,   /* demime */
345 #endif
346 #ifndef DISABLE_DKIM
347   FALSE,   /* dkim_signers */
348   FALSE,   /* dkim_status */
349 #endif
350 #ifdef EXPERIMENTAL_DMARC
351   FALSE,   /* dmarc_status */
352 #endif
353   FALSE,   /* dnslists */
354   FALSE,   /* domains */
355   FALSE,   /* encrypted */
356   TRUE,    /* endpass */
357   FALSE,   /* hosts */
358   FALSE,   /* local_parts */
359   TRUE,    /* log_message */
360   TRUE,    /* log_reject_target */
361   TRUE,    /* logwrite */
362 #ifdef WITH_CONTENT_SCAN
363   FALSE,   /* malware */
364 #endif
365   TRUE,    /* message */
366 #ifdef WITH_CONTENT_SCAN
367   FALSE,   /* mime_regex */
368 #endif
369   FALSE,   /* ratelimit */
370   FALSE,   /* recipients */
371 #ifdef WITH_CONTENT_SCAN
372   FALSE,   /* regex */
373 #endif
374   TRUE,    /* remove_header */
375   FALSE,   /* sender_domains */
376   FALSE,   /* senders */
377   TRUE,    /* set */
378 #ifdef WITH_CONTENT_SCAN
379   FALSE,   /* spam */
380 #endif
381 #ifdef EXPERIMENTAL_SPF
382   FALSE,   /* spf */
383   FALSE,   /* spf_guess */
384 #endif
385   TRUE,    /* udpsend */
386   FALSE    /* verify */
387 };
388
389 /* Bit map vector of which conditions and modifiers are not allowed at certain
390 times. For each condition and modifier, there's a bitmap of dis-allowed times.
391 For some, it is easier to specify the negation of a small number of allowed
392 times. */
393
394 static unsigned int cond_forbids[] = {
395   0,                                               /* acl */
396
397   (unsigned int)
398   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* add_header */
399     (1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|
400   #ifdef EXPERIMENTAL_PRDR
401     (1<<ACL_WHERE_PRDR)|
402   #endif
403     (1<<ACL_WHERE_MIME)|(1<<ACL_WHERE_NOTSMTP)|
404     (1<<ACL_WHERE_DKIM)|
405     (1<<ACL_WHERE_NOTSMTP_START)),
406
407   (1<<ACL_WHERE_NOTSMTP)|                          /* authenticated */
408     (1<<ACL_WHERE_NOTSMTP_START)|
409     (1<<ACL_WHERE_CONNECT)|(1<<ACL_WHERE_HELO),
410
411   #ifdef EXPERIMENTAL_BRIGHTMAIL
412   (1<<ACL_WHERE_AUTH)|                             /* bmi_optin */
413     (1<<ACL_WHERE_CONNECT)|(1<<ACL_WHERE_HELO)|
414     (1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_MIME)|
415   #ifdef EXPERIMENTAL_PRDR
416     (1<<ACL_WHERE_PRDR)|
417   #endif
418     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
419     (1<<ACL_WHERE_MAILAUTH)|
420     (1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_STARTTLS)|
421     (1<<ACL_WHERE_VRFY)|(1<<ACL_WHERE_PREDATA)|
422     (1<<ACL_WHERE_NOTSMTP_START),
423   #endif
424
425   0,                                               /* condition */
426
427   0,                                               /* continue */
428
429   /* Certain types of control are always allowed, so we let it through
430   always and check in the control processing itself. */
431
432   0,                                               /* control */
433
434   #ifdef EXPERIMENTAL_DCC
435   (unsigned int)
436   ~((1<<ACL_WHERE_DATA)|                           /* dcc */
437   #ifdef EXPERIMENTAL_PRDR
438     (1<<ACL_WHERE_PRDR)|
439   #endif /* EXPERIMENTAL_PRDR */
440     (1<<ACL_WHERE_NOTSMTP)),
441   #endif
442
443   #ifdef WITH_CONTENT_SCAN
444   (unsigned int)
445   ~(1<<ACL_WHERE_MIME),                            /* decode */
446   #endif
447
448   (1<<ACL_WHERE_NOTQUIT),                          /* delay */
449
450   #ifdef WITH_OLD_DEMIME
451   (unsigned int)
452   ~((1<<ACL_WHERE_DATA)|                           /* demime */
453   #ifdef EXPERIMENTAL_PRDR
454     (1<<ACL_WHERE_PRDR)|
455   #endif /* EXPERIMENTAL_PRDR */
456     (1<<ACL_WHERE_NOTSMTP)),
457   #endif
458
459   #ifndef DISABLE_DKIM
460   (unsigned int)
461   ~(1<<ACL_WHERE_DKIM),                            /* dkim_signers */
462
463   (unsigned int)
464   ~(1<<ACL_WHERE_DKIM),                            /* dkim_status */
465   #endif
466
467   #ifdef EXPERIMENTAL_DMARC
468   (unsigned int)
469   ~(1<<ACL_WHERE_DATA),                            /* dmarc_status */
470   #endif
471
472   (1<<ACL_WHERE_NOTSMTP)|                          /* dnslists */
473     (1<<ACL_WHERE_NOTSMTP_START),
474
475   (unsigned int)
476   ~((1<<ACL_WHERE_RCPT)                            /* domains */
477   #ifdef EXPERIMENTAL_PRDR
478     |(1<<ACL_WHERE_PRDR)
479   #endif
480     ),
481
482   (1<<ACL_WHERE_NOTSMTP)|                          /* encrypted */
483     (1<<ACL_WHERE_CONNECT)|
484     (1<<ACL_WHERE_NOTSMTP_START)|
485     (1<<ACL_WHERE_HELO),
486
487   0,                                               /* endpass */
488
489   (1<<ACL_WHERE_NOTSMTP)|                          /* hosts */
490     (1<<ACL_WHERE_NOTSMTP_START),
491
492   (unsigned int)
493   ~((1<<ACL_WHERE_RCPT)                             /* local_parts */
494   #ifdef EXPERIMENTAL_PRDR
495     |(1<<ACL_WHERE_PRDR)
496   #endif
497     ),
498
499   0,                                               /* log_message */
500
501   0,                                               /* log_reject_target */
502
503   0,                                               /* logwrite */
504
505   #ifdef WITH_CONTENT_SCAN
506   (unsigned int)
507   ~((1<<ACL_WHERE_DATA)|                           /* malware */
508   #ifdef EXPERIMENTAL_PRDR
509     (1<<ACL_WHERE_PRDR)|
510   #endif /* EXPERIMENTAL_PRDR */
511     (1<<ACL_WHERE_NOTSMTP)),
512   #endif
513
514   0,                                               /* message */
515
516   #ifdef WITH_CONTENT_SCAN
517   (unsigned int)
518   ~(1<<ACL_WHERE_MIME),                            /* mime_regex */
519   #endif
520
521   0,                                               /* ratelimit */
522
523   (unsigned int)
524   ~(1<<ACL_WHERE_RCPT),                            /* recipients */
525
526   #ifdef WITH_CONTENT_SCAN
527   (unsigned int)
528   ~((1<<ACL_WHERE_DATA)|                           /* regex */
529   #ifdef EXPERIMENTAL_PRDR
530     (1<<ACL_WHERE_PRDR)|
531   #endif /* EXPERIMENTAL_PRDR */
532     (1<<ACL_WHERE_NOTSMTP)|
533     (1<<ACL_WHERE_MIME)),
534   #endif
535
536   (unsigned int)
537   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* remove_header */
538     (1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|
539   #ifdef EXPERIMENTAL_PRDR
540     (1<<ACL_WHERE_PRDR)|
541   #endif
542     (1<<ACL_WHERE_MIME)|(1<<ACL_WHERE_NOTSMTP)|
543     (1<<ACL_WHERE_NOTSMTP_START)),
544
545   (1<<ACL_WHERE_AUTH)|(1<<ACL_WHERE_CONNECT)|      /* sender_domains */
546     (1<<ACL_WHERE_HELO)|
547     (1<<ACL_WHERE_MAILAUTH)|(1<<ACL_WHERE_QUIT)|
548     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
549     (1<<ACL_WHERE_STARTTLS)|(1<<ACL_WHERE_VRFY),
550
551   (1<<ACL_WHERE_AUTH)|(1<<ACL_WHERE_CONNECT)|      /* senders */
552     (1<<ACL_WHERE_HELO)|
553     (1<<ACL_WHERE_MAILAUTH)|(1<<ACL_WHERE_QUIT)|
554     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
555     (1<<ACL_WHERE_STARTTLS)|(1<<ACL_WHERE_VRFY),
556
557   0,                                               /* set */
558
559   #ifdef WITH_CONTENT_SCAN
560   (unsigned int)
561   ~((1<<ACL_WHERE_DATA)|                           /* spam */
562   #ifdef EXPERIMENTAL_PRDR
563     (1<<ACL_WHERE_PRDR)|
564   #endif /* EXPERIMENTAL_PRDR */
565     (1<<ACL_WHERE_NOTSMTP)),
566   #endif
567
568   #ifdef EXPERIMENTAL_SPF
569   (1<<ACL_WHERE_AUTH)|(1<<ACL_WHERE_CONNECT)|      /* spf */
570     (1<<ACL_WHERE_HELO)|
571     (1<<ACL_WHERE_MAILAUTH)|
572     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
573     (1<<ACL_WHERE_STARTTLS)|(1<<ACL_WHERE_VRFY)|
574     (1<<ACL_WHERE_NOTSMTP)|
575     (1<<ACL_WHERE_NOTSMTP_START),
576
577   (1<<ACL_WHERE_AUTH)|(1<<ACL_WHERE_CONNECT)|      /* spf_guess */
578     (1<<ACL_WHERE_HELO)|
579     (1<<ACL_WHERE_MAILAUTH)|
580     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
581     (1<<ACL_WHERE_STARTTLS)|(1<<ACL_WHERE_VRFY)|
582     (1<<ACL_WHERE_NOTSMTP)|
583     (1<<ACL_WHERE_NOTSMTP_START),
584   #endif
585
586   0,                                               /* udpsend */
587
588   /* Certain types of verify are always allowed, so we let it through
589   always and check in the verify function itself */
590
591   0                                                /* verify */
592 };
593
594
595 /* Bit map vector of which controls are not allowed at certain times. For
596 each control, there's a bitmap of dis-allowed times. For some, it is easier to
597 specify the negation of a small number of allowed times. */
598
599 static unsigned int control_forbids[] = {
600   (unsigned int)
601   ~((1<<ACL_WHERE_CONNECT)|(1<<ACL_WHERE_HELO)),   /* allow_auth_unadvertised */
602
603   #ifdef EXPERIMENTAL_BRIGHTMAIL
604   0,                                               /* bmi_run */
605   #endif
606
607   0,                                               /* debug */
608
609   #ifndef DISABLE_DKIM
610   (1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP)|      /* dkim_disable_verify */
611   #ifdef EXPERIMENTAL_PRDR
612     (1<<ACL_WHERE_PRDR)|
613   #endif /* EXPERIMENTAL_PRDR */
614     (1<<ACL_WHERE_NOTSMTP_START),
615   #endif
616
617   #ifdef EXPERIMENTAL_DMARC
618   (1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP)|      /* dmarc_disable_verify */
619     (1<<ACL_WHERE_NOTSMTP_START),
620   (1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP)|      /* dmarc_enable_forensic */
621     (1<<ACL_WHERE_NOTSMTP_START),
622   #endif
623
624   (1<<ACL_WHERE_NOTSMTP)|
625     (1<<ACL_WHERE_NOTSMTP_START)|
626     (1<<ACL_WHERE_NOTQUIT),                        /* dscp */
627
628   0,                                               /* error */
629
630   (unsigned int)
631   ~(1<<ACL_WHERE_RCPT),                            /* caseful_local_part */
632
633   (unsigned int)
634   ~(1<<ACL_WHERE_RCPT),                            /* caselower_local_part */
635
636   (unsigned int)
637   0,                                               /* cutthrough_delivery */
638
639   (1<<ACL_WHERE_NOTSMTP)|                          /* enforce_sync */
640     (1<<ACL_WHERE_NOTSMTP_START),
641
642   (1<<ACL_WHERE_NOTSMTP)|                          /* no_enforce_sync */
643     (1<<ACL_WHERE_NOTSMTP_START),
644
645   (unsigned int)
646   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* freeze */
647     (1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|
648     // (1<<ACL_WHERE_PRDR)|    /* Not allow one user to freeze for all */
649     (1<<ACL_WHERE_NOTSMTP)|(1<<ACL_WHERE_MIME)),
650
651   (unsigned int)
652   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* queue_only */
653     (1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|
654     // (1<<ACL_WHERE_PRDR)|    /* Not allow one user to freeze for all */
655     (1<<ACL_WHERE_NOTSMTP)|(1<<ACL_WHERE_MIME)),
656
657   (unsigned int)
658   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* submission */
659     (1<<ACL_WHERE_PREDATA)),
660
661   (unsigned int)
662   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* suppress_local_fixups */
663     (1<<ACL_WHERE_PREDATA)|
664     (1<<ACL_WHERE_NOTSMTP_START)),
665
666   #ifdef WITH_CONTENT_SCAN
667   (unsigned int)
668   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* no_mbox_unspool */
669     (1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|
670     // (1<<ACL_WHERE_PRDR)|    /* Not allow one user to freeze for all */
671     (1<<ACL_WHERE_MIME)),
672   #endif
673
674   (unsigned int)
675   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* fakedefer */
676     (1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|
677   #ifdef EXPERIMENTAL_PRDR
678     (1<<ACL_WHERE_PRDR)|
679   #endif /* EXPERIMENTAL_PRDR */
680     (1<<ACL_WHERE_MIME)),
681
682   (unsigned int)
683   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* fakereject */
684     (1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|
685   #ifdef EXPERIMENTAL_PRDR
686     (1<<ACL_WHERE_PRDR)|
687   #endif /* EXPERIMENTAL_PRDR */
688     (1<<ACL_WHERE_MIME)),
689
690   (1<<ACL_WHERE_NOTSMTP)|                          /* no_multiline */
691     (1<<ACL_WHERE_NOTSMTP_START),
692
693   (1<<ACL_WHERE_NOTSMTP)|                          /* no_pipelining */
694     (1<<ACL_WHERE_NOTSMTP_START),
695
696   (1<<ACL_WHERE_NOTSMTP)|                          /* no_delay_flush */
697     (1<<ACL_WHERE_NOTSMTP_START),
698
699   (1<<ACL_WHERE_NOTSMTP)|                          /* no_callout_flush */
700     (1<<ACL_WHERE_NOTSMTP_START)
701 };
702
703 /* Structure listing various control arguments, with their characteristics. */
704
705 typedef struct control_def {
706   uschar *name;
707   int    value;                  /* CONTROL_xxx value */
708   BOOL   has_option;             /* Has /option(s) following */
709 } control_def;
710
711 static control_def controls_list[] = {
712   { US"allow_auth_unadvertised", CONTROL_AUTH_UNADVERTISED, FALSE },
713 #ifdef EXPERIMENTAL_BRIGHTMAIL
714   { US"bmi_run",                 CONTROL_BMI_RUN, FALSE },
715 #endif
716   { US"debug",                   CONTROL_DEBUG, TRUE },
717 #ifndef DISABLE_DKIM
718   { US"dkim_disable_verify",     CONTROL_DKIM_VERIFY, FALSE },
719 #endif
720 #ifdef EXPERIMENTAL_DMARC
721   { US"dmarc_disable_verify",    CONTROL_DMARC_VERIFY, FALSE },
722   { US"dmarc_enable_forensic",   CONTROL_DMARC_FORENSIC, FALSE },
723 #endif
724   { US"dscp",                    CONTROL_DSCP, TRUE },
725   { US"caseful_local_part",      CONTROL_CASEFUL_LOCAL_PART, FALSE },
726   { US"caselower_local_part",    CONTROL_CASELOWER_LOCAL_PART, FALSE },
727   { US"enforce_sync",            CONTROL_ENFORCE_SYNC, FALSE },
728   { US"freeze",                  CONTROL_FREEZE, TRUE },
729   { US"no_callout_flush",        CONTROL_NO_CALLOUT_FLUSH, FALSE },
730   { US"no_delay_flush",          CONTROL_NO_DELAY_FLUSH, FALSE },
731   { US"no_enforce_sync",         CONTROL_NO_ENFORCE_SYNC, FALSE },
732   { US"no_multiline_responses",  CONTROL_NO_MULTILINE, FALSE },
733   { US"no_pipelining",           CONTROL_NO_PIPELINING, FALSE },
734   { US"queue_only",              CONTROL_QUEUE_ONLY, FALSE },
735 #ifdef WITH_CONTENT_SCAN
736   { US"no_mbox_unspool",         CONTROL_NO_MBOX_UNSPOOL, FALSE },
737 #endif
738   { US"fakedefer",               CONTROL_FAKEDEFER, TRUE },
739   { US"fakereject",              CONTROL_FAKEREJECT, TRUE },
740   { US"submission",              CONTROL_SUBMISSION, TRUE },
741   { US"suppress_local_fixups",   CONTROL_SUPPRESS_LOCAL_FIXUPS, FALSE },
742   { US"cutthrough_delivery",     CONTROL_CUTTHROUGH_DELIVERY, FALSE }
743   };
744
745 /* Support data structures for Client SMTP Authorization. acl_verify_csa()
746 caches its result in a tree to avoid repeated DNS queries. The result is an
747 integer code which is used as an index into the following tables of
748 explanatory strings and verification return codes. */
749
750 static tree_node *csa_cache = NULL;
751
752 enum { CSA_UNKNOWN, CSA_OK, CSA_DEFER_SRV, CSA_DEFER_ADDR,
753  CSA_FAIL_EXPLICIT, CSA_FAIL_DOMAIN, CSA_FAIL_NOADDR, CSA_FAIL_MISMATCH };
754
755 /* The acl_verify_csa() return code is translated into an acl_verify() return
756 code using the following table. It is OK unless the client is definitely not
757 authorized. This is because CSA is supposed to be optional for sending sites,
758 so recipients should not be too strict about checking it - especially because
759 DNS problems are quite likely to occur. It's possible to use $csa_status in
760 further ACL conditions to distinguish ok, unknown, and defer if required, but
761 the aim is to make the usual configuration simple. */
762
763 static int csa_return_code[] = {
764   OK, OK, OK, OK,
765   FAIL, FAIL, FAIL, FAIL
766 };
767
768 static uschar *csa_status_string[] = {
769   US"unknown", US"ok", US"defer", US"defer",
770   US"fail", US"fail", US"fail", US"fail"
771 };
772
773 static uschar *csa_reason_string[] = {
774   US"unknown",
775   US"ok",
776   US"deferred (SRV lookup failed)",
777   US"deferred (target address lookup failed)",
778   US"failed (explicit authorization required)",
779   US"failed (host name not authorized)",
780   US"failed (no authorized addresses)",
781   US"failed (client address mismatch)"
782 };
783
784 /* Options for the ratelimit condition. Note that there are two variants of
785 the per_rcpt option, depending on the ACL that is used to measure the rate.
786 However any ACL must be able to look up per_rcpt rates in /noupdate mode,
787 so the two variants must have the same internal representation as well as
788 the same configuration string. */
789
790 enum {
791   RATE_PER_WHAT, RATE_PER_CLASH, RATE_PER_ADDR, RATE_PER_BYTE, RATE_PER_CMD,
792   RATE_PER_CONN, RATE_PER_MAIL, RATE_PER_RCPT, RATE_PER_ALLRCPTS
793 };
794
795 #define RATE_SET(var,new) \
796   (((var) == RATE_PER_WHAT) ? ((var) = RATE_##new) : ((var) = RATE_PER_CLASH))
797
798 static uschar *ratelimit_option_string[] = {
799   US"?", US"!", US"per_addr", US"per_byte", US"per_cmd",
800   US"per_conn", US"per_mail", US"per_rcpt", US"per_rcpt"
801 };
802
803 /* Enable recursion between acl_check_internal() and acl_check_condition() */
804
805 static int acl_check_wargs(int, address_item *, uschar *, int, uschar **,
806     uschar **);
807
808
809 /*************************************************
810 *         Pick out name from list                *
811 *************************************************/
812
813 /* Use a binary chop method
814
815 Arguments:
816   name        name to find
817   list        list of names
818   end         size of list
819
820 Returns:      offset in list, or -1 if not found
821 */
822
823 static int
824 acl_checkname(uschar *name, uschar **list, int end)
825 {
826 int start = 0;
827
828 while (start < end)
829   {
830   int mid = (start + end)/2;
831   int c = Ustrcmp(name, list[mid]);
832   if (c == 0) return mid;
833   if (c < 0) end = mid; else start = mid + 1;
834   }
835
836 return -1;
837 }
838
839
840 /*************************************************
841 *            Read and parse one ACL              *
842 *************************************************/
843
844 /* This function is called both from readconf in order to parse the ACLs in the
845 configuration file, and also when an ACL is encountered dynamically (e.g. as
846 the result of an expansion). It is given a function to call in order to
847 retrieve the lines of the ACL. This function handles skipping comments and
848 blank lines (where relevant).
849
850 Arguments:
851   func        function to get next line of ACL
852   error       where to put an error message
853
854 Returns:      pointer to ACL, or NULL
855               NULL can be legal (empty ACL); in this case error will be NULL
856 */
857
858 acl_block *
859 acl_read(uschar *(*func)(void), uschar **error)
860 {
861 acl_block *yield = NULL;
862 acl_block **lastp = &yield;
863 acl_block *this = NULL;
864 acl_condition_block *cond;
865 acl_condition_block **condp = NULL;
866 uschar *s;
867
868 *error = NULL;
869
870 while ((s = (*func)()) != NULL)
871   {
872   int v, c;
873   BOOL negated = FALSE;
874   uschar *saveline = s;
875   uschar name[64];
876
877   /* Conditions (but not verbs) are allowed to be negated by an initial
878   exclamation mark. */
879
880   while (isspace(*s)) s++;
881   if (*s == '!')
882     {
883     negated = TRUE;
884     s++;
885     }
886
887   /* Read the name of a verb or a condition, or the start of a new ACL, which
888   can be started by a name, or by a macro definition. */
889
890   s = readconf_readname(name, sizeof(name), s);
891   if (*s == ':' || (isupper(name[0]) && *s == '=')) return yield;
892
893   /* If a verb is unrecognized, it may be another condition or modifier that
894   continues the previous verb. */
895
896   v = acl_checkname(name, verbs, sizeof(verbs)/sizeof(char *));
897   if (v < 0)
898     {
899     if (this == NULL)
900       {
901       *error = string_sprintf("unknown ACL verb \"%s\" in \"%s\"", name,
902         saveline);
903       return NULL;
904       }
905     }
906
907   /* New verb */
908
909   else
910     {
911     if (negated)
912       {
913       *error = string_sprintf("malformed ACL line \"%s\"", saveline);
914       return NULL;
915       }
916     this = store_get(sizeof(acl_block));
917     *lastp = this;
918     lastp = &(this->next);
919     this->next = NULL;
920     this->verb = v;
921     this->condition = NULL;
922     condp = &(this->condition);
923     if (*s == 0) continue;               /* No condition on this line */
924     if (*s == '!')
925       {
926       negated = TRUE;
927       s++;
928       }
929     s = readconf_readname(name, sizeof(name), s);  /* Condition name */
930     }
931
932   /* Handle a condition or modifier. */
933
934   c = acl_checkname(name, conditions, sizeof(conditions)/sizeof(char *));
935   if (c < 0)
936     {
937     *error = string_sprintf("unknown ACL condition/modifier in \"%s\"",
938       saveline);
939     return NULL;
940     }
941
942   /* The modifiers may not be negated */
943
944   if (negated && cond_modifiers[c])
945     {
946     *error = string_sprintf("ACL error: negation is not allowed with "
947       "\"%s\"", conditions[c]);
948     return NULL;
949     }
950
951   /* ENDPASS may occur only with ACCEPT or DISCARD. */
952
953   if (c == ACLC_ENDPASS &&
954       this->verb != ACL_ACCEPT &&
955       this->verb != ACL_DISCARD)
956     {
957     *error = string_sprintf("ACL error: \"%s\" is not allowed with \"%s\"",
958       conditions[c], verbs[this->verb]);
959     return NULL;
960     }
961
962   cond = store_get(sizeof(acl_condition_block));
963   cond->next = NULL;
964   cond->type = c;
965   cond->u.negated = negated;
966
967   *condp = cond;
968   condp = &(cond->next);
969
970   /* The "set" modifier is different in that its argument is "name=value"
971   rather than just a value, and we can check the validity of the name, which
972   gives us a variable name to insert into the data block. The original ACL
973   variable names were acl_c0 ... acl_c9 and acl_m0 ... acl_m9. This was
974   extended to 20 of each type, but after that people successfully argued for
975   arbitrary names. In the new scheme, the names must start with acl_c or acl_m.
976   After that, we allow alphanumerics and underscores, but the first character
977   after c or m must be a digit or an underscore. This retains backwards
978   compatibility. */
979
980   if (c == ACLC_SET)
981     {
982     uschar *endptr;
983
984     if (Ustrncmp(s, "acl_c", 5) != 0 &&
985         Ustrncmp(s, "acl_m", 5) != 0)
986       {
987       *error = string_sprintf("invalid variable name after \"set\" in ACL "
988         "modifier \"set %s\" (must start \"acl_c\" or \"acl_m\")", s);
989       return NULL;
990       }
991
992     endptr = s + 5;
993     if (!isdigit(*endptr) && *endptr != '_')
994       {
995       *error = string_sprintf("invalid variable name after \"set\" in ACL "
996         "modifier \"set %s\" (digit or underscore must follow acl_c or acl_m)",
997         s);
998       return NULL;
999       }
1000
1001     while (*endptr != 0 && *endptr != '=' && !isspace(*endptr))
1002       {
1003       if (!isalnum(*endptr) && *endptr != '_')
1004         {
1005         *error = string_sprintf("invalid character \"%c\" in variable name "
1006           "in ACL modifier \"set %s\"", *endptr, s);
1007         return NULL;
1008         }
1009       endptr++;
1010       }
1011
1012     cond->u.varname = string_copyn(s + 4, endptr - s - 4);
1013     s = endptr;
1014     while (isspace(*s)) s++;
1015     }
1016
1017   /* For "set", we are now positioned for the data. For the others, only
1018   "endpass" has no data */
1019
1020   if (c != ACLC_ENDPASS)
1021     {
1022     if (*s++ != '=')
1023       {
1024       *error = string_sprintf("\"=\" missing after ACL \"%s\" %s", name,
1025         cond_modifiers[c]? US"modifier" : US"condition");
1026       return NULL;
1027       }
1028     while (isspace(*s)) s++;
1029     cond->arg = string_copy(s);
1030     }
1031   }
1032
1033 return yield;
1034 }
1035
1036
1037
1038 /*************************************************
1039 *         Set up added header line(s)            *
1040 *************************************************/
1041
1042 /* This function is called by the add_header modifier, and also from acl_warn()
1043 to implement the now-deprecated way of adding header lines using "message" on a
1044 "warn" verb. The argument is treated as a sequence of header lines which are
1045 added to a chain, provided there isn't an identical one already there.
1046
1047 Argument:   string of header lines
1048 Returns:    nothing
1049 */
1050
1051 static void
1052 setup_header(uschar *hstring)
1053 {
1054 uschar *p, *q;
1055 int hlen = Ustrlen(hstring);
1056
1057 /* Ignore any leading newlines */
1058 while (*hstring == '\n') hstring++, hlen--;
1059
1060 /* An empty string does nothing; ensure exactly one final newline. */
1061 if (hlen <= 0) return;
1062 if (hstring[--hlen] != '\n') hstring = string_sprintf("%s\n", hstring);
1063 else while(hstring[--hlen] == '\n') hstring[hlen+1] = '\0';
1064
1065 /* Loop for multiple header lines, taking care about continuations */
1066
1067 for (p = q = hstring; *p != 0; )
1068   {
1069   uschar *s;
1070   int newtype = htype_add_bot;
1071   header_line **hptr = &acl_added_headers;
1072
1073   /* Find next header line within the string */
1074
1075   for (;;)
1076     {
1077     q = Ustrchr(q, '\n');
1078     if (*(++q) != ' ' && *q != '\t') break;
1079     }
1080
1081   /* If the line starts with a colon, interpret the instruction for where to
1082   add it. This temporarily sets up a new type. */
1083
1084   if (*p == ':')
1085     {
1086     if (strncmpic(p, US":after_received:", 16) == 0)
1087       {
1088       newtype = htype_add_rec;
1089       p += 16;
1090       }
1091     else if (strncmpic(p, US":at_start_rfc:", 14) == 0)
1092       {
1093       newtype = htype_add_rfc;
1094       p += 14;
1095       }
1096     else if (strncmpic(p, US":at_start:", 10) == 0)
1097       {
1098       newtype = htype_add_top;
1099       p += 10;
1100       }
1101     else if (strncmpic(p, US":at_end:", 8) == 0)
1102       {
1103       newtype = htype_add_bot;
1104       p += 8;
1105       }
1106     while (*p == ' ' || *p == '\t') p++;
1107     }
1108
1109   /* See if this line starts with a header name, and if not, add X-ACL-Warn:
1110   to the front of it. */
1111
1112   for (s = p; s < q - 1; s++)
1113     {
1114     if (*s == ':' || !isgraph(*s)) break;
1115     }
1116
1117   s = string_sprintf("%s%.*s", (*s == ':')? "" : "X-ACL-Warn: ", (int) (q - p), p);
1118   hlen = Ustrlen(s);
1119
1120   /* See if this line has already been added */
1121
1122   while (*hptr != NULL)
1123     {
1124     if (Ustrncmp((*hptr)->text, s, hlen) == 0) break;
1125     hptr = &((*hptr)->next);
1126     }
1127
1128   /* Add if not previously present */
1129
1130   if (*hptr == NULL)
1131     {
1132     header_line *h = store_get(sizeof(header_line));
1133     h->text = s;
1134     h->next = NULL;
1135     h->type = newtype;
1136     h->slen = hlen;
1137     *hptr = h;
1138     hptr = &(h->next);
1139     }
1140
1141   /* Advance for next header line within the string */
1142
1143   p = q;
1144   }
1145 }
1146
1147
1148
1149 /*************************************************
1150 *        List the added header lines             *
1151 *************************************************/
1152 uschar *
1153 fn_hdrs_added(void)
1154 {
1155 uschar * ret = NULL;
1156 header_line * h = acl_added_headers;
1157 uschar * s;
1158 uschar * cp;
1159 int size = 0;
1160 int ptr = 0;
1161
1162 if (!h) return NULL;
1163
1164 do
1165   {
1166   s = h->text;
1167   while ((cp = Ustrchr(s, '\n')) != NULL)
1168     {
1169     if (cp[1] == '\0') break;
1170
1171     /* contains embedded newline; needs doubling */
1172     ret = string_cat(ret, &size, &ptr, s, cp-s+1);
1173     ret = string_cat(ret, &size, &ptr, US"\n", 1);
1174     s = cp+1;
1175     }
1176   /* last bit of header */
1177
1178   ret = string_cat(ret, &size, &ptr, s, cp-s+1);        /* newline-sep list */
1179   }
1180 while((h = h->next));
1181
1182 ret[ptr-1] = '\0';      /* overwrite last newline */
1183 return ret;
1184 }
1185
1186
1187 /*************************************************
1188 *        Set up removed header line(s)           *
1189 *************************************************/
1190
1191 /* This function is called by the remove_header modifier.  The argument is
1192 treated as a sequence of header names which are added to a colon separated
1193 list, provided there isn't an identical one already there.
1194
1195 Argument:   string of header names
1196 Returns:    nothing
1197 */
1198
1199 static void
1200 setup_remove_header(uschar *hnames)
1201 {
1202 if (*hnames != 0)
1203   {
1204   if (acl_removed_headers == NULL)
1205     acl_removed_headers = hnames;
1206   else
1207     acl_removed_headers = string_sprintf("%s : %s", acl_removed_headers, hnames);
1208   }
1209 }
1210
1211
1212
1213 /*************************************************
1214 *               Handle warnings                  *
1215 *************************************************/
1216
1217 /* This function is called when a WARN verb's conditions are true. It adds to
1218 the message's headers, and/or writes information to the log. In each case, this
1219 only happens once (per message for headers, per connection for log).
1220
1221 ** NOTE: The header adding action using the "message" setting is historic, and
1222 its use is now deprecated. The new add_header modifier should be used instead.
1223
1224 Arguments:
1225   where          ACL_WHERE_xxxx indicating which ACL this is
1226   user_message   message for adding to headers
1227   log_message    message for logging, if different
1228
1229 Returns:         nothing
1230 */
1231
1232 static void
1233 acl_warn(int where, uschar *user_message, uschar *log_message)
1234 {
1235 if (log_message != NULL && log_message != user_message)
1236   {
1237   uschar *text;
1238   string_item *logged;
1239
1240   text = string_sprintf("%s Warning: %s",  host_and_ident(TRUE),
1241     string_printing(log_message));
1242
1243   /* If a sender verification has failed, and the log message is "sender verify
1244   failed", add the failure message. */
1245
1246   if (sender_verified_failed != NULL &&
1247       sender_verified_failed->message != NULL &&
1248       strcmpic(log_message, US"sender verify failed") == 0)
1249     text = string_sprintf("%s: %s", text, sender_verified_failed->message);
1250
1251   /* Search previously logged warnings. They are kept in malloc
1252   store so they can be freed at the start of a new message. */
1253
1254   for (logged = acl_warn_logged; logged != NULL; logged = logged->next)
1255     if (Ustrcmp(logged->text, text) == 0) break;
1256
1257   if (logged == NULL)
1258     {
1259     int length = Ustrlen(text) + 1;
1260     log_write(0, LOG_MAIN, "%s", text);
1261     logged = store_malloc(sizeof(string_item) + length);
1262     logged->text = (uschar *)logged + sizeof(string_item);
1263     memcpy(logged->text, text, length);
1264     logged->next = acl_warn_logged;
1265     acl_warn_logged = logged;
1266     }
1267   }
1268
1269 /* If there's no user message, we are done. */
1270
1271 if (user_message == NULL) return;
1272
1273 /* If this isn't a message ACL, we can't do anything with a user message.
1274 Log an error. */
1275
1276 if (where > ACL_WHERE_NOTSMTP)
1277   {
1278   log_write(0, LOG_MAIN|LOG_PANIC, "ACL \"warn\" with \"message\" setting "
1279     "found in a non-message (%s) ACL: cannot specify header lines here: "
1280     "message ignored", acl_wherenames[where]);
1281   return;
1282   }
1283
1284 /* The code for setting up header lines is now abstracted into a separate
1285 function so that it can be used for the add_header modifier as well. */
1286
1287 setup_header(user_message);
1288 }
1289
1290
1291
1292 /*************************************************
1293 *         Verify and check reverse DNS           *
1294 *************************************************/
1295
1296 /* Called from acl_verify() below. We look up the host name(s) of the client IP
1297 address if this has not yet been done. The host_name_lookup() function checks
1298 that one of these names resolves to an address list that contains the client IP
1299 address, so we don't actually have to do the check here.
1300
1301 Arguments:
1302   user_msgptr  pointer for user message
1303   log_msgptr   pointer for log message
1304
1305 Returns:       OK        verification condition succeeded
1306                FAIL      verification failed
1307                DEFER     there was a problem verifying
1308 */
1309
1310 static int
1311 acl_verify_reverse(uschar **user_msgptr, uschar **log_msgptr)
1312 {
1313 int rc;
1314
1315 user_msgptr = user_msgptr;  /* stop compiler warning */
1316
1317 /* Previous success */
1318
1319 if (sender_host_name != NULL) return OK;
1320
1321 /* Previous failure */
1322
1323 if (host_lookup_failed)
1324   {
1325   *log_msgptr = string_sprintf("host lookup failed%s", host_lookup_msg);
1326   return FAIL;
1327   }
1328
1329 /* Need to do a lookup */
1330
1331 HDEBUG(D_acl)
1332   debug_printf("looking up host name to force name/address consistency check\n");
1333
1334 if ((rc = host_name_lookup()) != OK)
1335   {
1336   *log_msgptr = (rc == DEFER)?
1337     US"host lookup deferred for reverse lookup check"
1338     :
1339     string_sprintf("host lookup failed for reverse lookup check%s",
1340       host_lookup_msg);
1341   return rc;    /* DEFER or FAIL */
1342   }
1343
1344 host_build_sender_fullhost();
1345 return OK;
1346 }
1347
1348
1349
1350 /*************************************************
1351 *   Check client IP address matches CSA target   *
1352 *************************************************/
1353
1354 /* Called from acl_verify_csa() below. This routine scans a section of a DNS
1355 response for address records belonging to the CSA target hostname. The section
1356 is specified by the reset argument, either RESET_ADDITIONAL or RESET_ANSWERS.
1357 If one of the addresses matches the client's IP address, then the client is
1358 authorized by CSA. If there are target IP addresses but none of them match
1359 then the client is using an unauthorized IP address. If there are no target IP
1360 addresses then the client cannot be using an authorized IP address. (This is
1361 an odd configuration - why didn't the SRV record have a weight of 1 instead?)
1362
1363 Arguments:
1364   dnsa       the DNS answer block
1365   dnss       a DNS scan block for us to use
1366   reset      option specifing what portion to scan, as described above
1367   target     the target hostname to use for matching RR names
1368
1369 Returns:     CSA_OK             successfully authorized
1370              CSA_FAIL_MISMATCH  addresses found but none matched
1371              CSA_FAIL_NOADDR    no target addresses found
1372 */
1373
1374 static int
1375 acl_verify_csa_address(dns_answer *dnsa, dns_scan *dnss, int reset,
1376                        uschar *target)
1377 {
1378 dns_record *rr;
1379 dns_address *da;
1380
1381 BOOL target_found = FALSE;
1382
1383 for (rr = dns_next_rr(dnsa, dnss, reset);
1384      rr != NULL;
1385      rr = dns_next_rr(dnsa, dnss, RESET_NEXT))
1386   {
1387   /* Check this is an address RR for the target hostname. */
1388
1389   if (rr->type != T_A
1390     #if HAVE_IPV6
1391       && rr->type != T_AAAA
1392       #ifdef SUPPORT_A6
1393         && rr->type != T_A6
1394       #endif
1395     #endif
1396   ) continue;
1397
1398   if (strcmpic(target, rr->name) != 0) continue;
1399
1400   target_found = TRUE;
1401
1402   /* Turn the target address RR into a list of textual IP addresses and scan
1403   the list. There may be more than one if it is an A6 RR. */
1404
1405   for (da = dns_address_from_rr(dnsa, rr); da != NULL; da = da->next)
1406     {
1407     /* If the client IP address matches the target IP address, it's good! */
1408
1409     DEBUG(D_acl) debug_printf("CSA target address is %s\n", da->address);
1410
1411     if (strcmpic(sender_host_address, da->address) == 0) return CSA_OK;
1412     }
1413   }
1414
1415 /* If we found some target addresses but none of them matched, the client is
1416 using an unauthorized IP address, otherwise the target has no authorized IP
1417 addresses. */
1418
1419 if (target_found) return CSA_FAIL_MISMATCH;
1420 else return CSA_FAIL_NOADDR;
1421 }
1422
1423
1424
1425 /*************************************************
1426 *       Verify Client SMTP Authorization         *
1427 *************************************************/
1428
1429 /* Called from acl_verify() below. This routine calls dns_lookup_special()
1430 to find the CSA SRV record corresponding to the domain argument, or
1431 $sender_helo_name if no argument is provided. It then checks that the
1432 client is authorized, and that its IP address corresponds to the SRV
1433 target's address by calling acl_verify_csa_address() above. The address
1434 should have been returned in the DNS response's ADDITIONAL section, but if
1435 not we perform another DNS lookup to get it.
1436
1437 Arguments:
1438   domain    pointer to optional parameter following verify = csa
1439
1440 Returns:    CSA_UNKNOWN    no valid CSA record found
1441             CSA_OK         successfully authorized
1442             CSA_FAIL_*     client is definitely not authorized
1443             CSA_DEFER_*    there was a DNS problem
1444 */
1445
1446 static int
1447 acl_verify_csa(uschar *domain)
1448 {
1449 tree_node *t;
1450 uschar *found, *p;
1451 int priority, weight, port;
1452 dns_answer dnsa;
1453 dns_scan dnss;
1454 dns_record *rr;
1455 int rc, type;
1456 uschar target[256];
1457
1458 /* Work out the domain we are using for the CSA lookup. The default is the
1459 client's HELO domain. If the client has not said HELO, use its IP address
1460 instead. If it's a local client (exim -bs), CSA isn't applicable. */
1461
1462 while (isspace(*domain) && *domain != '\0') ++domain;
1463 if (*domain == '\0') domain = sender_helo_name;
1464 if (domain == NULL) domain = sender_host_address;
1465 if (sender_host_address == NULL) return CSA_UNKNOWN;
1466
1467 /* If we have an address literal, strip off the framing ready for turning it
1468 into a domain. The framing consists of matched square brackets possibly
1469 containing a keyword and a colon before the actual IP address. */
1470
1471 if (domain[0] == '[')
1472   {
1473   uschar *start = Ustrchr(domain, ':');
1474   if (start == NULL) start = domain;
1475   domain = string_copyn(start + 1, Ustrlen(start) - 2);
1476   }
1477
1478 /* Turn domains that look like bare IP addresses into domains in the reverse
1479 DNS. This code also deals with address literals and $sender_host_address. It's
1480 not quite kosher to treat bare domains such as EHLO 192.0.2.57 the same as
1481 address literals, but it's probably the most friendly thing to do. This is an
1482 extension to CSA, so we allow it to be turned off for proper conformance. */
1483
1484 if (string_is_ip_address(domain, NULL) != 0)
1485   {
1486   if (!dns_csa_use_reverse) return CSA_UNKNOWN;
1487   dns_build_reverse(domain, target);
1488   domain = target;
1489   }
1490
1491 /* Find out if we've already done the CSA check for this domain. If we have,
1492 return the same result again. Otherwise build a new cached result structure
1493 for this domain. The name is filled in now, and the value is filled in when
1494 we return from this function. */
1495
1496 t = tree_search(csa_cache, domain);
1497 if (t != NULL) return t->data.val;
1498
1499 t = store_get_perm(sizeof(tree_node) + Ustrlen(domain));
1500 Ustrcpy(t->name, domain);
1501 (void)tree_insertnode(&csa_cache, t);
1502
1503 /* Now we are ready to do the actual DNS lookup(s). */
1504
1505 found = domain;
1506 switch (dns_special_lookup(&dnsa, domain, T_CSA, &found))
1507   {
1508   /* If something bad happened (most commonly DNS_AGAIN), defer. */
1509
1510   default:
1511   return t->data.val = CSA_DEFER_SRV;
1512
1513   /* If we found nothing, the client's authorization is unknown. */
1514
1515   case DNS_NOMATCH:
1516   case DNS_NODATA:
1517   return t->data.val = CSA_UNKNOWN;
1518
1519   /* We got something! Go on to look at the reply in more detail. */
1520
1521   case DNS_SUCCEED:
1522   break;
1523   }
1524
1525 /* Scan the reply for well-formed CSA SRV records. */
1526
1527 for (rr = dns_next_rr(&dnsa, &dnss, RESET_ANSWERS);
1528      rr != NULL;
1529      rr = dns_next_rr(&dnsa, &dnss, RESET_NEXT))
1530   {
1531   if (rr->type != T_SRV) continue;
1532
1533   /* Extract the numerical SRV fields (p is incremented) */
1534
1535   p = rr->data;
1536   GETSHORT(priority, p);
1537   GETSHORT(weight, p);
1538   GETSHORT(port, p);
1539
1540   DEBUG(D_acl)
1541     debug_printf("CSA priority=%d weight=%d port=%d\n", priority, weight, port);
1542
1543   /* Check the CSA version number */
1544
1545   if (priority != 1) continue;
1546
1547   /* If the domain does not have a CSA SRV record of its own (i.e. the domain
1548   found by dns_special_lookup() is a parent of the one we asked for), we check
1549   the subdomain assertions in the port field. At the moment there's only one
1550   assertion: legitimate SMTP clients are all explicitly authorized with CSA
1551   SRV records of their own. */
1552
1553   if (found != domain)
1554     {
1555     if (port & 1)
1556       return t->data.val = CSA_FAIL_EXPLICIT;
1557     else
1558       return t->data.val = CSA_UNKNOWN;
1559     }
1560
1561   /* This CSA SRV record refers directly to our domain, so we check the value
1562   in the weight field to work out the domain's authorization. 0 and 1 are
1563   unauthorized; 3 means the client is authorized but we can't check the IP
1564   address in order to authenticate it, so we treat it as unknown; values
1565   greater than 3 are undefined. */
1566
1567   if (weight < 2) return t->data.val = CSA_FAIL_DOMAIN;
1568
1569   if (weight > 2) continue;
1570
1571   /* Weight == 2, which means the domain is authorized. We must check that the
1572   client's IP address is listed as one of the SRV target addresses. Save the
1573   target hostname then break to scan the additional data for its addresses. */
1574
1575   (void)dn_expand(dnsa.answer, dnsa.answer + dnsa.answerlen, p,
1576     (DN_EXPAND_ARG4_TYPE)target, sizeof(target));
1577
1578   DEBUG(D_acl) debug_printf("CSA target is %s\n", target);
1579
1580   break;
1581   }
1582
1583 /* If we didn't break the loop then no appropriate records were found. */
1584
1585 if (rr == NULL) return t->data.val = CSA_UNKNOWN;
1586
1587 /* Do not check addresses if the target is ".", in accordance with RFC 2782.
1588 A target of "." indicates there are no valid addresses, so the client cannot
1589 be authorized. (This is an odd configuration because weight=2 target=. is
1590 equivalent to weight=1, but we check for it in order to keep load off the
1591 root name servers.) Note that dn_expand() turns "." into "". */
1592
1593 if (Ustrcmp(target, "") == 0) return t->data.val = CSA_FAIL_NOADDR;
1594
1595 /* Scan the additional section of the CSA SRV reply for addresses belonging
1596 to the target. If the name server didn't return any additional data (e.g.
1597 because it does not fully support SRV records), we need to do another lookup
1598 to obtain the target addresses; otherwise we have a definitive result. */
1599
1600 rc = acl_verify_csa_address(&dnsa, &dnss, RESET_ADDITIONAL, target);
1601 if (rc != CSA_FAIL_NOADDR) return t->data.val = rc;
1602
1603 /* The DNS lookup type corresponds to the IP version used by the client. */
1604
1605 #if HAVE_IPV6
1606 if (Ustrchr(sender_host_address, ':') != NULL)
1607   type = T_AAAA;
1608 else
1609 #endif /* HAVE_IPV6 */
1610   type = T_A;
1611
1612
1613 #if HAVE_IPV6 && defined(SUPPORT_A6)
1614 DNS_LOOKUP_AGAIN:
1615 #endif
1616
1617 lookup_dnssec_authenticated = NULL;
1618 switch (dns_lookup(&dnsa, target, type, NULL))
1619   {
1620   /* If something bad happened (most commonly DNS_AGAIN), defer. */
1621
1622   default:
1623   return t->data.val = CSA_DEFER_ADDR;
1624
1625   /* If the query succeeded, scan the addresses and return the result. */
1626
1627   case DNS_SUCCEED:
1628   rc = acl_verify_csa_address(&dnsa, &dnss, RESET_ANSWERS, target);
1629   if (rc != CSA_FAIL_NOADDR) return t->data.val = rc;
1630   /* else fall through */
1631
1632   /* If the target has no IP addresses, the client cannot have an authorized
1633   IP address. However, if the target site uses A6 records (not AAAA records)
1634   we have to do yet another lookup in order to check them. */
1635
1636   case DNS_NOMATCH:
1637   case DNS_NODATA:
1638
1639   #if HAVE_IPV6 && defined(SUPPORT_A6)
1640   if (type == T_AAAA) { type = T_A6; goto DNS_LOOKUP_AGAIN; }
1641   #endif
1642
1643   return t->data.val = CSA_FAIL_NOADDR;
1644   }
1645 }
1646
1647
1648
1649 /*************************************************
1650 *     Handle verification (address & other)      *
1651 *************************************************/
1652
1653 enum { VERIFY_REV_HOST_LKUP, VERIFY_CERT, VERIFY_HELO, VERIFY_CSA, VERIFY_HDR_SYNTAX,
1654        VERIFY_NOT_BLIND, VERIFY_HDR_SNDR, VERIFY_SNDR, VERIFY_RCPT,
1655        VERIFY_HDR_NAMES_ASCII
1656   };
1657 typedef struct {
1658   uschar * name;
1659   int      value;
1660   unsigned where_allowed;       /* bitmap */
1661   BOOL     no_options;          /* Never has /option(s) following */
1662   unsigned alt_opt_sep;         /* >0 Non-/ option separator (custom parser) */
1663   } verify_type_t;
1664 static verify_type_t verify_type_list[] = {
1665     { US"reverse_host_lookup",  VERIFY_REV_HOST_LKUP,   ~0,     TRUE, 0 },
1666     { US"certificate",          VERIFY_CERT,            ~0,     TRUE, 0 },
1667     { US"helo",                 VERIFY_HELO,            ~0,     TRUE, 0 },
1668     { US"csa",                  VERIFY_CSA,             ~0,     FALSE, 0 },
1669     { US"header_syntax",        VERIFY_HDR_SYNTAX,      (1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP), TRUE, 0 },
1670     { US"not_blind",            VERIFY_NOT_BLIND,       (1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP), TRUE, 0 },
1671     { US"header_sender",        VERIFY_HDR_SNDR,        (1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP), FALSE, 0 },
1672     { US"sender",               VERIFY_SNDR,            (1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)
1673                         |(1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP),
1674                                                                                 FALSE, 6 },
1675     { US"recipient",            VERIFY_RCPT,            (1<<ACL_WHERE_RCPT),    FALSE, 0 },
1676     { US"header_names_ascii",   VERIFY_HDR_NAMES_ASCII, (1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP), TRUE, 0 }
1677   };
1678
1679
1680 enum { CALLOUT_DEFER_OK, CALLOUT_NOCACHE, CALLOUT_RANDOM, CALLOUT_USE_SENDER,
1681   CALLOUT_USE_POSTMASTER, CALLOUT_POSTMASTER, CALLOUT_FULLPOSTMASTER,
1682   CALLOUT_MAILFROM, CALLOUT_POSTMASTER_MAILFROM, CALLOUT_MAXWAIT, CALLOUT_CONNECT,
1683   CALLOUT_TIME
1684   };
1685 typedef struct {
1686   uschar * name;
1687   int      value;
1688   int      flag;
1689   BOOL     has_option;  /* Has =option(s) following */
1690   BOOL     timeval;     /* Has a time value */
1691   } callout_opt_t;
1692 static callout_opt_t callout_opt_list[] = {
1693     { US"defer_ok",       CALLOUT_DEFER_OK,      0,                             FALSE, FALSE },
1694     { US"no_cache",       CALLOUT_NOCACHE,       vopt_callout_no_cache,         FALSE, FALSE },
1695     { US"random",         CALLOUT_RANDOM,        vopt_callout_random,           FALSE, FALSE },
1696     { US"use_sender",     CALLOUT_USE_SENDER,    vopt_callout_recipsender,      FALSE, FALSE },
1697     { US"use_postmaster", CALLOUT_USE_POSTMASTER,vopt_callout_recippmaster,     FALSE, FALSE },
1698     { US"postmaster_mailfrom",CALLOUT_POSTMASTER_MAILFROM,0,                    TRUE,  FALSE },
1699     { US"postmaster",     CALLOUT_POSTMASTER,    0,                             FALSE, FALSE },
1700     { US"fullpostmaster", CALLOUT_FULLPOSTMASTER,vopt_callout_fullpm,           FALSE, FALSE },
1701     { US"mailfrom",       CALLOUT_MAILFROM,      0,                             TRUE,  FALSE },
1702     { US"maxwait",        CALLOUT_MAXWAIT,       0,                             TRUE,  TRUE },
1703     { US"connect",        CALLOUT_CONNECT,       0,                             TRUE,  TRUE },
1704     { NULL,               CALLOUT_TIME,          0,                             FALSE, TRUE }
1705   };
1706
1707
1708
1709 /* This function implements the "verify" condition. It is called when
1710 encountered in any ACL, because some tests are almost always permitted. Some
1711 just don't make sense, and always fail (for example, an attempt to test a host
1712 lookup for a non-TCP/IP message). Others are restricted to certain ACLs.
1713
1714 Arguments:
1715   where        where called from
1716   addr         the recipient address that the ACL is handling, or NULL
1717   arg          the argument of "verify"
1718   user_msgptr  pointer for user message
1719   log_msgptr   pointer for log message
1720   basic_errno  where to put verify errno
1721
1722 Returns:       OK        verification condition succeeded
1723                FAIL      verification failed
1724                DEFER     there was a problem verifying
1725                ERROR     syntax error
1726 */
1727
1728 static int
1729 acl_verify(int where, address_item *addr, uschar *arg,
1730   uschar **user_msgptr, uschar **log_msgptr, int *basic_errno)
1731 {
1732 int sep = '/';
1733 int callout = -1;
1734 int callout_overall = -1;
1735 int callout_connect = -1;
1736 int verify_options = 0;
1737 int rc;
1738 BOOL verify_header_sender = FALSE;
1739 BOOL defer_ok = FALSE;
1740 BOOL callout_defer_ok = FALSE;
1741 BOOL no_details = FALSE;
1742 BOOL success_on_redirect = FALSE;
1743 address_item *sender_vaddr = NULL;
1744 uschar *verify_sender_address = NULL;
1745 uschar *pm_mailfrom = NULL;
1746 uschar *se_mailfrom = NULL;
1747
1748 /* Some of the verify items have slash-separated options; some do not. Diagnose
1749 an error if options are given for items that don't expect them.
1750 */
1751
1752 uschar *slash = Ustrchr(arg, '/');
1753 uschar *list = arg;
1754 uschar *ss = string_nextinlist(&list, &sep, big_buffer, big_buffer_size);
1755 verify_type_t * vp;
1756
1757 if (ss == NULL) goto BAD_VERIFY;
1758
1759 /* Handle name/address consistency verification in a separate function. */
1760
1761 for (vp= verify_type_list;
1762      (char *)vp < (char *)verify_type_list + sizeof(verify_type_list);
1763      vp++
1764     )
1765   if (vp->alt_opt_sep ? strncmpic(ss, vp->name, vp->alt_opt_sep) == 0
1766                       : strcmpic (ss, vp->name) == 0)
1767    break;
1768 if ((char *)vp >= (char *)verify_type_list + sizeof(verify_type_list))
1769   goto BAD_VERIFY;
1770
1771 if (vp->no_options && slash != NULL)
1772   {
1773   *log_msgptr = string_sprintf("unexpected '/' found in \"%s\" "
1774     "(this verify item has no options)", arg);
1775   return ERROR;
1776   }
1777 if (!(vp->where_allowed & (1<<where)))
1778   {
1779   *log_msgptr = string_sprintf("cannot verify %s in ACL for %s", vp->name, acl_wherenames[where]);
1780   return ERROR;
1781   }
1782 switch(vp->value)
1783   {
1784   case VERIFY_REV_HOST_LKUP:
1785     if (sender_host_address == NULL) return OK;
1786     return acl_verify_reverse(user_msgptr, log_msgptr);
1787
1788   case VERIFY_CERT:
1789     /* TLS certificate verification is done at STARTTLS time; here we just
1790     test whether it was successful or not. (This is for optional verification; for
1791     mandatory verification, the connection doesn't last this long.) */
1792
1793       if (tls_in.certificate_verified) return OK;
1794       *user_msgptr = US"no verified certificate";
1795       return FAIL;
1796
1797   case VERIFY_HELO:
1798     /* We can test the result of optional HELO verification that might have
1799     occurred earlier. If not, we can attempt the verification now. */
1800
1801       if (!helo_verified && !helo_verify_failed) smtp_verify_helo();
1802       return helo_verified? OK : FAIL;
1803
1804   case VERIFY_CSA:
1805     /* Do Client SMTP Authorization checks in a separate function, and turn the
1806     result code into user-friendly strings. */
1807
1808       rc = acl_verify_csa(list);
1809       *log_msgptr = *user_msgptr = string_sprintf("client SMTP authorization %s",
1810                                               csa_reason_string[rc]);
1811       csa_status = csa_status_string[rc];
1812       DEBUG(D_acl) debug_printf("CSA result %s\n", csa_status);
1813       return csa_return_code[rc];
1814
1815   case VERIFY_HDR_SYNTAX:
1816     /* Check that all relevant header lines have the correct syntax. If there is
1817     a syntax error, we return details of the error to the sender if configured to
1818     send out full details. (But a "message" setting on the ACL can override, as
1819     always). */
1820
1821     rc = verify_check_headers(log_msgptr);
1822     if (rc != OK && smtp_return_error_details && *log_msgptr != NULL)
1823       *user_msgptr = string_sprintf("Rejected after DATA: %s", *log_msgptr);
1824     return rc;
1825
1826   case VERIFY_HDR_NAMES_ASCII:
1827     /* Check that all header names are true 7 bit strings
1828     See RFC 5322, 2.2. and RFC 6532, 3. */
1829
1830     rc = verify_check_header_names_ascii(log_msgptr);
1831     if (rc != OK && smtp_return_error_details && *log_msgptr != NULL)
1832       *user_msgptr = string_sprintf("Rejected after DATA: %s", *log_msgptr);
1833     return rc;
1834
1835   case VERIFY_NOT_BLIND:
1836     /* Check that no recipient of this message is "blind", that is, every envelope
1837     recipient must be mentioned in either To: or Cc:. */
1838
1839     rc = verify_check_notblind();
1840     if (rc != OK)
1841       {
1842       *log_msgptr = string_sprintf("bcc recipient detected");
1843       if (smtp_return_error_details)
1844         *user_msgptr = string_sprintf("Rejected after DATA: %s", *log_msgptr);
1845       }
1846     return rc;
1847
1848   /* The remaining verification tests check recipient and sender addresses,
1849   either from the envelope or from the header. There are a number of
1850   slash-separated options that are common to all of them. */
1851
1852   case VERIFY_HDR_SNDR:
1853     verify_header_sender = TRUE;
1854     break;
1855
1856   case VERIFY_SNDR:
1857     /* In the case of a sender, this can optionally be followed by an address to use
1858     in place of the actual sender (rare special-case requirement). */
1859     {
1860     uschar *s = ss + 6;
1861     if (*s == 0)
1862       verify_sender_address = sender_address;
1863     else
1864       {
1865       while (isspace(*s)) s++;
1866       if (*s++ != '=') goto BAD_VERIFY;
1867       while (isspace(*s)) s++;
1868       verify_sender_address = string_copy(s);
1869       }
1870     }
1871     break;
1872
1873   case VERIFY_RCPT:
1874     break;
1875   }
1876
1877
1878
1879 /* Remaining items are optional; they apply to sender and recipient
1880 verification, including "header sender" verification. */
1881
1882 while ((ss = string_nextinlist(&list, &sep, big_buffer, big_buffer_size))
1883       != NULL)
1884   {
1885   if (strcmpic(ss, US"defer_ok") == 0) defer_ok = TRUE;
1886   else if (strcmpic(ss, US"no_details") == 0) no_details = TRUE;
1887   else if (strcmpic(ss, US"success_on_redirect") == 0) success_on_redirect = TRUE;
1888
1889   /* These two old options are left for backwards compatibility */
1890
1891   else if (strcmpic(ss, US"callout_defer_ok") == 0)
1892     {
1893     callout_defer_ok = TRUE;
1894     if (callout == -1) callout = CALLOUT_TIMEOUT_DEFAULT;
1895     }
1896
1897   else if (strcmpic(ss, US"check_postmaster") == 0)
1898      {
1899      pm_mailfrom = US"";
1900      if (callout == -1) callout = CALLOUT_TIMEOUT_DEFAULT;
1901      }
1902
1903   /* The callout option has a number of sub-options, comma separated */
1904
1905   else if (strncmpic(ss, US"callout", 7) == 0)
1906     {
1907     callout = CALLOUT_TIMEOUT_DEFAULT;
1908     ss += 7;
1909     if (*ss != 0)
1910       {
1911       while (isspace(*ss)) ss++;
1912       if (*ss++ == '=')
1913         {
1914         int optsep = ',';
1915         uschar *opt;
1916         uschar buffer[256];
1917         while (isspace(*ss)) ss++;
1918
1919         while ((opt = string_nextinlist(&ss, &optsep, buffer, sizeof(buffer)))
1920               != NULL)
1921           {
1922           callout_opt_t * op;
1923           double period = 1.0F;
1924
1925           for (op= callout_opt_list; op->name; op++)
1926             if (strncmpic(opt, op->name, Ustrlen(op->name)) == 0)
1927               break;
1928
1929           verify_options |= op->flag;
1930           if (op->has_option)
1931             {
1932             opt += Ustrlen(op->name);
1933             while (isspace(*opt)) opt++;
1934             if (*opt++ != '=')
1935               {
1936               *log_msgptr = string_sprintf("'=' expected after "
1937                 "\"%s\" in ACL verify condition \"%s\"", op->name, arg);
1938               return ERROR;
1939               }
1940             while (isspace(*opt)) opt++;
1941             }
1942           if (op->timeval)
1943             {
1944             period = readconf_readtime(opt, 0, FALSE);
1945             if (period < 0)
1946               {
1947               *log_msgptr = string_sprintf("bad time value in ACL condition "
1948                 "\"verify %s\"", arg);
1949               return ERROR;
1950               }
1951             }
1952
1953           switch(op->value)
1954             {
1955             case CALLOUT_DEFER_OK:              callout_defer_ok = TRUE; break;
1956             case CALLOUT_POSTMASTER:            pm_mailfrom = US"";     break;
1957             case CALLOUT_FULLPOSTMASTER:        pm_mailfrom = US"";     break;
1958             case CALLOUT_MAILFROM:
1959               if (!verify_header_sender)
1960                 {
1961                 *log_msgptr = string_sprintf("\"mailfrom\" is allowed as a "
1962                   "callout option only for verify=header_sender (detected in ACL "
1963                   "condition \"%s\")", arg);
1964                 return ERROR;
1965                 }
1966               se_mailfrom = string_copy(opt);
1967               break;
1968             case CALLOUT_POSTMASTER_MAILFROM:   pm_mailfrom = string_copy(opt); break;
1969             case CALLOUT_MAXWAIT:               callout_overall = period;       break;
1970             case CALLOUT_CONNECT:               callout_connect = period;       break;
1971             case CALLOUT_TIME:                  callout = period;               break;
1972             }
1973           }
1974         }
1975       else
1976         {
1977         *log_msgptr = string_sprintf("'=' expected after \"callout\" in "
1978           "ACL condition \"%s\"", arg);
1979         return ERROR;
1980         }
1981       }
1982     }
1983
1984   /* Option not recognized */
1985
1986   else
1987     {
1988     *log_msgptr = string_sprintf("unknown option \"%s\" in ACL "
1989       "condition \"verify %s\"", ss, arg);
1990     return ERROR;
1991     }
1992   }
1993
1994 if ((verify_options & (vopt_callout_recipsender|vopt_callout_recippmaster)) ==
1995       (vopt_callout_recipsender|vopt_callout_recippmaster))
1996   {
1997   *log_msgptr = US"only one of use_sender and use_postmaster can be set "
1998     "for a recipient callout";
1999   return ERROR;
2000   }
2001
2002 /* Handle sender-in-header verification. Default the user message to the log
2003 message if giving out verification details. */
2004
2005 if (verify_header_sender)
2006   {
2007   int verrno;
2008   rc = verify_check_header_address(user_msgptr, log_msgptr, callout,
2009     callout_overall, callout_connect, se_mailfrom, pm_mailfrom, verify_options,
2010     &verrno);
2011   if (rc != OK)
2012     {
2013     *basic_errno = verrno;
2014     if (smtp_return_error_details)
2015       {
2016       if (*user_msgptr == NULL && *log_msgptr != NULL)
2017         *user_msgptr = string_sprintf("Rejected after DATA: %s", *log_msgptr);
2018       if (rc == DEFER) acl_temp_details = TRUE;
2019       }
2020     }
2021   }
2022
2023 /* Handle a sender address. The default is to verify *the* sender address, but
2024 optionally a different address can be given, for special requirements. If the
2025 address is empty, we are dealing with a bounce message that has no sender, so
2026 we cannot do any checking. If the real sender address gets rewritten during
2027 verification (e.g. DNS widening), set the flag to stop it being rewritten again
2028 during message reception.
2029
2030 A list of verified "sender" addresses is kept to try to avoid doing to much
2031 work repetitively when there are multiple recipients in a message and they all
2032 require sender verification. However, when callouts are involved, it gets too
2033 complicated because different recipients may require different callout options.
2034 Therefore, we always do a full sender verify when any kind of callout is
2035 specified. Caching elsewhere, for instance in the DNS resolver and in the
2036 callout handling, should ensure that this is not terribly inefficient. */
2037
2038 else if (verify_sender_address != NULL)
2039   {
2040   if ((verify_options & (vopt_callout_recipsender|vopt_callout_recippmaster))
2041        != 0)
2042     {
2043     *log_msgptr = US"use_sender or use_postmaster cannot be used for a "
2044       "sender verify callout";
2045     return ERROR;
2046     }
2047
2048   sender_vaddr = verify_checked_sender(verify_sender_address);
2049   if (sender_vaddr != NULL &&               /* Previously checked */
2050       callout <= 0)                         /* No callout needed this time */
2051     {
2052     /* If the "routed" flag is set, it means that routing worked before, so
2053     this check can give OK (the saved return code value, if set, belongs to a
2054     callout that was done previously). If the "routed" flag is not set, routing
2055     must have failed, so we use the saved return code. */
2056
2057     if (testflag(sender_vaddr, af_verify_routed)) rc = OK; else
2058       {
2059       rc = sender_vaddr->special_action;
2060       *basic_errno = sender_vaddr->basic_errno;
2061       }
2062     HDEBUG(D_acl) debug_printf("using cached sender verify result\n");
2063     }
2064
2065   /* Do a new verification, and cache the result. The cache is used to avoid
2066   verifying the sender multiple times for multiple RCPTs when callouts are not
2067   specified (see comments above).
2068
2069   The cache is also used on failure to give details in response to the first
2070   RCPT that gets bounced for this reason. However, this can be suppressed by
2071   the no_details option, which sets the flag that says "this detail has already
2072   been sent". The cache normally contains just one address, but there may be
2073   more in esoteric circumstances. */
2074
2075   else
2076     {
2077     BOOL routed = TRUE;
2078     uschar *save_address_data = deliver_address_data;
2079
2080     sender_vaddr = deliver_make_addr(verify_sender_address, TRUE);
2081     if (no_details) setflag(sender_vaddr, af_sverify_told);
2082     if (verify_sender_address[0] != 0)
2083       {
2084       /* If this is the real sender address, save the unrewritten version
2085       for use later in receive. Otherwise, set a flag so that rewriting the
2086       sender in verify_address() does not update sender_address. */
2087
2088       if (verify_sender_address == sender_address)
2089         sender_address_unrewritten = sender_address;
2090       else
2091         verify_options |= vopt_fake_sender;
2092
2093       if (success_on_redirect)
2094         verify_options |= vopt_success_on_redirect;
2095
2096       /* The recipient, qualify, and expn options are never set in
2097       verify_options. */
2098
2099       rc = verify_address(sender_vaddr, NULL, verify_options, callout,
2100         callout_overall, callout_connect, se_mailfrom, pm_mailfrom, &routed);
2101
2102       HDEBUG(D_acl) debug_printf("----------- end verify ------------\n");
2103
2104       if (rc == OK)
2105         {
2106         if (Ustrcmp(sender_vaddr->address, verify_sender_address) != 0)
2107           {
2108           DEBUG(D_acl) debug_printf("sender %s verified ok as %s\n",
2109             verify_sender_address, sender_vaddr->address);
2110           }
2111         else
2112           {
2113           DEBUG(D_acl) debug_printf("sender %s verified ok\n",
2114             verify_sender_address);
2115           }
2116         }
2117       else *basic_errno = sender_vaddr->basic_errno;
2118       }
2119     else rc = OK;  /* Null sender */
2120
2121     /* Cache the result code */
2122
2123     if (routed) setflag(sender_vaddr, af_verify_routed);
2124     if (callout > 0) setflag(sender_vaddr, af_verify_callout);
2125     sender_vaddr->special_action = rc;
2126     sender_vaddr->next = sender_verified_list;
2127     sender_verified_list = sender_vaddr;
2128
2129     /* Restore the recipient address data, which might have been clobbered by
2130     the sender verification. */
2131
2132     deliver_address_data = save_address_data;
2133     }
2134
2135   /* Put the sender address_data value into $sender_address_data */
2136
2137   sender_address_data = sender_vaddr->p.address_data;
2138   }
2139
2140 /* A recipient address just gets a straightforward verify; again we must handle
2141 the DEFER overrides. */
2142
2143 else
2144   {
2145   address_item addr2;
2146
2147   if (success_on_redirect)
2148     verify_options |= vopt_success_on_redirect;
2149
2150   /* We must use a copy of the address for verification, because it might
2151   get rewritten. */
2152
2153   addr2 = *addr;
2154   rc = verify_address(&addr2, NULL, verify_options|vopt_is_recipient, callout,
2155     callout_overall, callout_connect, se_mailfrom, pm_mailfrom, NULL);
2156   HDEBUG(D_acl) debug_printf("----------- end verify ------------\n");
2157
2158   *basic_errno = addr2.basic_errno;
2159   *log_msgptr = addr2.message;
2160   *user_msgptr = (addr2.user_message != NULL)?
2161     addr2.user_message : addr2.message;
2162
2163   /* Allow details for temporary error if the address is so flagged. */
2164   if (testflag((&addr2), af_pass_message)) acl_temp_details = TRUE;
2165
2166   /* Make $address_data visible */
2167   deliver_address_data = addr2.p.address_data;
2168   }
2169
2170 /* We have a result from the relevant test. Handle defer overrides first. */
2171
2172 if (rc == DEFER && (defer_ok ||
2173    (callout_defer_ok && *basic_errno == ERRNO_CALLOUTDEFER)))
2174   {
2175   HDEBUG(D_acl) debug_printf("verify defer overridden by %s\n",
2176     defer_ok? "defer_ok" : "callout_defer_ok");
2177   rc = OK;
2178   }
2179
2180 /* If we've failed a sender, set up a recipient message, and point
2181 sender_verified_failed to the address item that actually failed. */
2182
2183 if (rc != OK && verify_sender_address != NULL)
2184   {
2185   if (rc != DEFER)
2186     {
2187     *log_msgptr = *user_msgptr = US"Sender verify failed";
2188     }
2189   else if (*basic_errno != ERRNO_CALLOUTDEFER)
2190     {
2191     *log_msgptr = *user_msgptr = US"Could not complete sender verify";
2192     }
2193   else
2194     {
2195     *log_msgptr = US"Could not complete sender verify callout";
2196     *user_msgptr = smtp_return_error_details? sender_vaddr->user_message :
2197       *log_msgptr;
2198     }
2199
2200   sender_verified_failed = sender_vaddr;
2201   }
2202
2203 /* Verifying an address messes up the values of $domain and $local_part,
2204 so reset them before returning if this is a RCPT ACL. */
2205
2206 if (addr != NULL)
2207   {
2208   deliver_domain = addr->domain;
2209   deliver_localpart = addr->local_part;
2210   }
2211 return rc;
2212
2213 /* Syntax errors in the verify argument come here. */
2214
2215 BAD_VERIFY:
2216 *log_msgptr = string_sprintf("expected \"sender[=address]\", \"recipient\", "
2217   "\"helo\", \"header_syntax\", \"header_sender\", \"header_names_ascii\" "
2218   "or \"reverse_host_lookup\" at start of ACL condition "
2219   "\"verify %s\"", arg);
2220 return ERROR;
2221 }
2222
2223
2224
2225
2226 /*************************************************
2227 *        Check argument for control= modifier    *
2228 *************************************************/
2229
2230 /* Called from acl_check_condition() below
2231
2232 Arguments:
2233   arg         the argument string for control=
2234   pptr        set to point to the terminating character
2235   where       which ACL we are in
2236   log_msgptr  for error messages
2237
2238 Returns:      CONTROL_xxx value
2239 */
2240
2241 static int
2242 decode_control(uschar *arg, uschar **pptr, int where, uschar **log_msgptr)
2243 {
2244 int len;
2245 control_def *d;
2246
2247 for (d = controls_list;
2248      d < controls_list + sizeof(controls_list)/sizeof(control_def);
2249      d++)
2250   {
2251   len = Ustrlen(d->name);
2252   if (Ustrncmp(d->name, arg, len) == 0) break;
2253   }
2254
2255 if (d >= controls_list + sizeof(controls_list)/sizeof(control_def) ||
2256    (arg[len] != 0 && (!d->has_option || arg[len] != '/')))
2257   {
2258   *log_msgptr = string_sprintf("syntax error in \"control=%s\"", arg);
2259   return CONTROL_ERROR;
2260   }
2261
2262 *pptr = arg + len;
2263 return d->value;
2264 }
2265
2266
2267
2268
2269 /*************************************************
2270 *        Return a ratelimit error                *
2271 *************************************************/
2272
2273 /* Called from acl_ratelimit() below
2274
2275 Arguments:
2276   log_msgptr  for error messages
2277   format      format string
2278   ...         supplementary arguments
2279   ss          ratelimit option name
2280   where       ACL_WHERE_xxxx indicating which ACL this is
2281
2282 Returns:      ERROR
2283 */
2284
2285 static int
2286 ratelimit_error(uschar **log_msgptr, const char *format, ...)
2287 {
2288 va_list ap;
2289 uschar buffer[STRING_SPRINTF_BUFFER_SIZE];
2290 va_start(ap, format);
2291 if (!string_vformat(buffer, sizeof(buffer), format, ap))
2292   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
2293     "string_sprintf expansion was longer than " SIZE_T_FMT, sizeof(buffer));
2294 va_end(ap);
2295 *log_msgptr = string_sprintf(
2296   "error in arguments to \"ratelimit\" condition: %s", buffer);
2297 return ERROR;
2298 }
2299
2300
2301
2302
2303 /*************************************************
2304 *            Handle rate limiting                *
2305 *************************************************/
2306
2307 /* Called by acl_check_condition() below to calculate the result
2308 of the ACL ratelimit condition.
2309
2310 Note that the return value might be slightly unexpected: if the
2311 sender's rate is above the limit then the result is OK. This is
2312 similar to the dnslists condition, and is so that you can write
2313 ACL clauses like: defer ratelimit = 15 / 1h
2314
2315 Arguments:
2316   arg         the option string for ratelimit=
2317   where       ACL_WHERE_xxxx indicating which ACL this is
2318   log_msgptr  for error messages
2319
2320 Returns:       OK        - Sender's rate is above limit
2321                FAIL      - Sender's rate is below limit
2322                DEFER     - Problem opening ratelimit database
2323                ERROR     - Syntax error in options.
2324 */
2325
2326 static int
2327 acl_ratelimit(uschar *arg, int where, uschar **log_msgptr)
2328 {
2329 double limit, period, count;
2330 uschar *ss;
2331 uschar *key = NULL;
2332 uschar *unique = NULL;
2333 int sep = '/';
2334 BOOL leaky = FALSE, strict = FALSE, readonly = FALSE;
2335 BOOL noupdate = FALSE, badacl = FALSE;
2336 int mode = RATE_PER_WHAT;
2337 int old_pool, rc;
2338 tree_node **anchor, *t;
2339 open_db dbblock, *dbm;
2340 int dbdb_size;
2341 dbdata_ratelimit *dbd;
2342 dbdata_ratelimit_unique *dbdb;
2343 struct timeval tv;
2344
2345 /* Parse the first two options and record their values in expansion
2346 variables. These variables allow the configuration to have informative
2347 error messages based on rate limits obtained from a table lookup. */
2348
2349 /* First is the maximum number of messages per period / maximum burst
2350 size, which must be greater than or equal to zero. Zero is useful for
2351 rate measurement as opposed to rate limiting. */
2352
2353 sender_rate_limit = string_nextinlist(&arg, &sep, NULL, 0);
2354 if (sender_rate_limit == NULL)
2355   limit = -1.0;
2356 else
2357   {
2358   limit = Ustrtod(sender_rate_limit, &ss);
2359   if (tolower(*ss) == 'k') { limit *= 1024.0; ss++; }
2360   else if (tolower(*ss) == 'm') { limit *= 1024.0*1024.0; ss++; }
2361   else if (tolower(*ss) == 'g') { limit *= 1024.0*1024.0*1024.0; ss++; }
2362   }
2363 if (limit < 0.0 || *ss != '\0')
2364   return ratelimit_error(log_msgptr,
2365     "\"%s\" is not a positive number", sender_rate_limit);
2366
2367 /* Second is the rate measurement period / exponential smoothing time
2368 constant. This must be strictly greater than zero, because zero leads to
2369 run-time division errors. */
2370
2371 sender_rate_period = string_nextinlist(&arg, &sep, NULL, 0);
2372 if (sender_rate_period == NULL) period = -1.0;
2373 else period = readconf_readtime(sender_rate_period, 0, FALSE);
2374 if (period <= 0.0)
2375   return ratelimit_error(log_msgptr,
2376     "\"%s\" is not a time value", sender_rate_period);
2377
2378 /* By default we are counting one of something, but the per_rcpt,
2379 per_byte, and count options can change this. */
2380
2381 count = 1.0;
2382
2383 /* Parse the other options. */
2384
2385 while ((ss = string_nextinlist(&arg, &sep, big_buffer, big_buffer_size))
2386        != NULL)
2387   {
2388   if (strcmpic(ss, US"leaky") == 0) leaky = TRUE;
2389   else if (strcmpic(ss, US"strict") == 0) strict = TRUE;
2390   else if (strcmpic(ss, US"noupdate") == 0) noupdate = TRUE;
2391   else if (strcmpic(ss, US"readonly") == 0) readonly = TRUE;
2392   else if (strcmpic(ss, US"per_cmd") == 0) RATE_SET(mode, PER_CMD);
2393   else if (strcmpic(ss, US"per_conn") == 0)
2394     {
2395     RATE_SET(mode, PER_CONN);
2396     if (where == ACL_WHERE_NOTSMTP || where == ACL_WHERE_NOTSMTP_START)
2397       badacl = TRUE;
2398     }
2399   else if (strcmpic(ss, US"per_mail") == 0)
2400     {
2401     RATE_SET(mode, PER_MAIL);
2402     if (where > ACL_WHERE_NOTSMTP) badacl = TRUE;
2403     }
2404   else if (strcmpic(ss, US"per_rcpt") == 0)
2405     {
2406     /* If we are running in the RCPT ACL, then we'll count the recipients
2407     one by one, but if we are running when we have accumulated the whole
2408     list then we'll add them all in one batch. */
2409     if (where == ACL_WHERE_RCPT)
2410       RATE_SET(mode, PER_RCPT);
2411     else if (where >= ACL_WHERE_PREDATA && where <= ACL_WHERE_NOTSMTP)
2412       RATE_SET(mode, PER_ALLRCPTS), count = (double)recipients_count;
2413     else if (where == ACL_WHERE_MAIL || where > ACL_WHERE_NOTSMTP)
2414       RATE_SET(mode, PER_RCPT), badacl = TRUE;
2415     }
2416   else if (strcmpic(ss, US"per_byte") == 0)
2417     {
2418     /* If we have not yet received the message data and there was no SIZE
2419     declaration on the MAIL comand, then it's safe to just use a value of
2420     zero and let the recorded rate decay as if nothing happened. */
2421     RATE_SET(mode, PER_MAIL);
2422     if (where > ACL_WHERE_NOTSMTP) badacl = TRUE;
2423       else count = message_size < 0 ? 0.0 : (double)message_size;
2424     }
2425   else if (strcmpic(ss, US"per_addr") == 0)
2426     {
2427     RATE_SET(mode, PER_RCPT);
2428     if (where != ACL_WHERE_RCPT) badacl = TRUE, unique = US"*";
2429       else unique = string_sprintf("%s@%s", deliver_localpart, deliver_domain);
2430     }
2431   else if (strncmpic(ss, US"count=", 6) == 0)
2432     {
2433     uschar *e;
2434     count = Ustrtod(ss+6, &e);
2435     if (count < 0.0 || *e != '\0')
2436       return ratelimit_error(log_msgptr,
2437         "\"%s\" is not a positive number", ss);
2438     }
2439   else if (strncmpic(ss, US"unique=", 7) == 0)
2440     unique = string_copy(ss + 7);
2441   else if (key == NULL)
2442     key = string_copy(ss);
2443   else
2444     key = string_sprintf("%s/%s", key, ss);
2445   }
2446
2447 /* Sanity check. When the badacl flag is set the update mode must either
2448 be readonly (which is the default if it is omitted) or, for backwards
2449 compatibility, a combination of noupdate and strict or leaky. */
2450
2451 if (mode == RATE_PER_CLASH)
2452   return ratelimit_error(log_msgptr, "conflicting per_* options");
2453 if (leaky + strict + readonly > 1)
2454   return ratelimit_error(log_msgptr, "conflicting update modes");
2455 if (badacl && (leaky || strict) && !noupdate)
2456   return ratelimit_error(log_msgptr,
2457     "\"%s\" must not have /leaky or /strict option in %s ACL",
2458     ratelimit_option_string[mode], acl_wherenames[where]);
2459
2460 /* Set the default values of any unset options. In readonly mode we
2461 perform the rate computation without any increment so that its value
2462 decays to eventually allow over-limit senders through. */
2463
2464 if (noupdate) readonly = TRUE, leaky = strict = FALSE;
2465 if (badacl) readonly = TRUE;
2466 if (readonly) count = 0.0;
2467 if (!strict && !readonly) leaky = TRUE;
2468 if (mode == RATE_PER_WHAT) mode = RATE_PER_MAIL;
2469
2470 /* Create the lookup key. If there is no explicit key, use sender_host_address.
2471 If there is no sender_host_address (e.g. -bs or acl_not_smtp) then we simply
2472 omit it. The smoothing constant (sender_rate_period) and the per_xxx options
2473 are added to the key because they alter the meaning of the stored data. */
2474
2475 if (key == NULL)
2476   key = (sender_host_address == NULL)? US"" : sender_host_address;
2477
2478 key = string_sprintf("%s/%s/%s%s",
2479   sender_rate_period,
2480   ratelimit_option_string[mode],
2481   unique == NULL ? "" : "unique/",
2482   key);
2483
2484 HDEBUG(D_acl)
2485   debug_printf("ratelimit condition count=%.0f %.1f/%s\n", count, limit, key);
2486
2487 /* See if we have already computed the rate by looking in the relevant tree.
2488 For per-connection rate limiting, store tree nodes and dbdata in the permanent
2489 pool so that they survive across resets. In readonly mode we only remember the
2490 result for the rest of this command in case a later command changes it. After
2491 this bit of logic the code is independent of the per_* mode. */
2492
2493 old_pool = store_pool;
2494
2495 if (readonly)
2496   anchor = &ratelimiters_cmd;
2497 else switch(mode) {
2498 case RATE_PER_CONN:
2499   anchor = &ratelimiters_conn;
2500   store_pool = POOL_PERM;
2501   break;
2502 case RATE_PER_BYTE:
2503 case RATE_PER_MAIL:
2504 case RATE_PER_ALLRCPTS:
2505   anchor = &ratelimiters_mail;
2506   break;
2507 case RATE_PER_ADDR:
2508 case RATE_PER_CMD:
2509 case RATE_PER_RCPT:
2510   anchor = &ratelimiters_cmd;
2511   break;
2512 default:
2513   anchor = NULL; /* silence an "unused" complaint */
2514   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
2515     "internal ACL error: unknown ratelimit mode %d", mode);
2516   break;
2517 }
2518
2519 t = tree_search(*anchor, key);
2520 if (t != NULL)
2521   {
2522   dbd = t->data.ptr;
2523   /* The following few lines duplicate some of the code below. */
2524   rc = (dbd->rate < limit)? FAIL : OK;
2525   store_pool = old_pool;
2526   sender_rate = string_sprintf("%.1f", dbd->rate);
2527   HDEBUG(D_acl)
2528     debug_printf("ratelimit found pre-computed rate %s\n", sender_rate);
2529   return rc;
2530   }
2531
2532 /* We aren't using a pre-computed rate, so get a previously recorded rate
2533 from the database, which will be updated and written back if required. */
2534
2535 dbm = dbfn_open(US"ratelimit", O_RDWR, &dbblock, TRUE);
2536 if (dbm == NULL)
2537   {
2538   store_pool = old_pool;
2539   sender_rate = NULL;
2540   HDEBUG(D_acl) debug_printf("ratelimit database not available\n");
2541   *log_msgptr = US"ratelimit database not available";
2542   return DEFER;
2543   }
2544 dbdb = dbfn_read_with_length(dbm, key, &dbdb_size);
2545 dbd = NULL;
2546
2547 gettimeofday(&tv, NULL);
2548
2549 if (dbdb != NULL)
2550   {
2551   /* Locate the basic ratelimit block inside the DB data. */
2552   HDEBUG(D_acl) debug_printf("ratelimit found key in database\n");
2553   dbd = &dbdb->dbd;
2554
2555   /* Forget the old Bloom filter if it is too old, so that we count each
2556   repeating event once per period. We don't simply clear and re-use the old
2557   filter because we want its size to change if the limit changes. Note that
2558   we keep the dbd pointer for copying the rate into the new data block. */
2559
2560   if(unique != NULL && tv.tv_sec > dbdb->bloom_epoch + period)
2561     {
2562     HDEBUG(D_acl) debug_printf("ratelimit discarding old Bloom filter\n");
2563     dbdb = NULL;
2564     }
2565
2566   /* Sanity check. */
2567
2568   if(unique != NULL && dbdb_size < sizeof(*dbdb))
2569     {
2570     HDEBUG(D_acl) debug_printf("ratelimit discarding undersize Bloom filter\n");
2571     dbdb = NULL;
2572     }
2573   }
2574
2575 /* Allocate a new data block if the database lookup failed
2576 or the Bloom filter passed its age limit. */
2577
2578 if (dbdb == NULL)
2579   {
2580   if (unique == NULL)
2581     {
2582     /* No Bloom filter. This basic ratelimit block is initialized below. */
2583     HDEBUG(D_acl) debug_printf("ratelimit creating new rate data block\n");
2584     dbdb_size = sizeof(*dbd);
2585     dbdb = store_get(dbdb_size);
2586     }
2587   else
2588     {
2589     int extra;
2590     HDEBUG(D_acl) debug_printf("ratelimit creating new Bloom filter\n");
2591
2592     /* See the long comment below for an explanation of the magic number 2.
2593     The filter has a minimum size in case the rate limit is very small;
2594     this is determined by the definition of dbdata_ratelimit_unique. */
2595
2596     extra = (int)limit * 2 - sizeof(dbdb->bloom);
2597     if (extra < 0) extra = 0;
2598     dbdb_size = sizeof(*dbdb) + extra;
2599     dbdb = store_get(dbdb_size);
2600     dbdb->bloom_epoch = tv.tv_sec;
2601     dbdb->bloom_size = sizeof(dbdb->bloom) + extra;
2602     memset(dbdb->bloom, 0, dbdb->bloom_size);
2603
2604     /* Preserve any basic ratelimit data (which is our longer-term memory)
2605     by copying it from the discarded block. */
2606
2607     if (dbd != NULL)
2608       {
2609       dbdb->dbd = *dbd;
2610       dbd = &dbdb->dbd;
2611       }
2612     }
2613   }
2614
2615 /* If we are counting unique events, find out if this event is new or not.
2616 If the client repeats the event during the current period then it should be
2617 counted. We skip this code in readonly mode for efficiency, because any
2618 changes to the filter will be discarded and because count is already set to
2619 zero. */
2620
2621 if (unique != NULL && !readonly)
2622   {
2623   /* We identify unique events using a Bloom filter. (You can find my
2624   notes on Bloom filters at http://fanf.livejournal.com/81696.html)
2625   With the per_addr option, an "event" is a recipient address, though the
2626   user can use the unique option to define their own events. We only count
2627   an event if we have not seen it before.
2628
2629   We size the filter according to the rate limit, which (in leaky mode)
2630   is the limit on the population of the filter. We allow 16 bits of space
2631   per entry (see the construction code above) and we set (up to) 8 of them
2632   when inserting an element (see the loop below). The probability of a false
2633   positive (an event we have not seen before but which we fail to count) is
2634
2635     size    = limit * 16
2636     numhash = 8
2637     allzero = exp(-numhash * pop / size)
2638             = exp(-0.5 * pop / limit)
2639     fpr     = pow(1 - allzero, numhash)
2640
2641   For senders at the limit the fpr is      0.06%    or  1 in 1700
2642   and for senders at half the limit it is  0.0006%  or  1 in 170000
2643
2644   In strict mode the Bloom filter can fill up beyond the normal limit, in
2645   which case the false positive rate will rise. This means that the
2646   measured rate for very fast senders can bogusly drop off after a while.
2647
2648   At twice the limit, the fpr is  2.5%  or  1 in 40
2649   At four times the limit, it is  31%   or  1 in 3.2
2650
2651   It takes ln(pop/limit) periods for an over-limit burst of pop events to
2652   decay below the limit, and if this is more than one then the Bloom filter
2653   will be discarded before the decay gets that far. The false positive rate
2654   at this threshold is 9.3% or 1 in 10.7. */
2655
2656   BOOL seen;
2657   unsigned n, hash, hinc;
2658   uschar md5sum[16];
2659   md5 md5info;
2660
2661   /* Instead of using eight independent hash values, we combine two values
2662   using the formula h1 + n * h2. This does not harm the Bloom filter's
2663   performance, and means the amount of hash we need is independent of the
2664   number of bits we set in the filter. */
2665
2666   md5_start(&md5info);
2667   md5_end(&md5info, unique, Ustrlen(unique), md5sum);
2668   hash = md5sum[0] | md5sum[1] << 8 | md5sum[2] << 16 | md5sum[3] << 24;
2669   hinc = md5sum[4] | md5sum[5] << 8 | md5sum[6] << 16 | md5sum[7] << 24;
2670
2671   /* Scan the bits corresponding to this event. A zero bit means we have
2672   not seen it before. Ensure all bits are set to record this event. */
2673
2674   HDEBUG(D_acl) debug_printf("ratelimit checking uniqueness of %s\n", unique);
2675
2676   seen = TRUE;
2677   for (n = 0; n < 8; n++, hash += hinc)
2678     {
2679     int bit = 1 << (hash % 8);
2680     int byte = (hash / 8) % dbdb->bloom_size;
2681     if ((dbdb->bloom[byte] & bit) == 0)
2682       {
2683       dbdb->bloom[byte] |= bit;
2684       seen = FALSE;
2685       }
2686     }
2687
2688   /* If this event has occurred before, do not count it. */
2689
2690   if (seen)
2691     {
2692     HDEBUG(D_acl) debug_printf("ratelimit event found in Bloom filter\n");
2693     count = 0.0;
2694     }
2695   else
2696     HDEBUG(D_acl) debug_printf("ratelimit event added to Bloom filter\n");
2697   }
2698
2699 /* If there was no previous ratelimit data block for this key, initialize
2700 the new one, otherwise update the block from the database. The initial rate
2701 is what would be computed by the code below for an infinite interval. */
2702
2703 if (dbd == NULL)
2704   {
2705   HDEBUG(D_acl) debug_printf("ratelimit initializing new key's rate data\n");
2706   dbd = &dbdb->dbd;
2707   dbd->time_stamp = tv.tv_sec;
2708   dbd->time_usec = tv.tv_usec;
2709   dbd->rate = count;
2710   }
2711 else
2712   {
2713   /* The smoothed rate is computed using an exponentially weighted moving
2714   average adjusted for variable sampling intervals. The standard EWMA for
2715   a fixed sampling interval is:  f'(t) = (1 - a) * f(t) + a * f'(t - 1)
2716   where f() is the measured value and f'() is the smoothed value.
2717
2718   Old data decays out of the smoothed value exponentially, such that data n
2719   samples old is multiplied by a^n. The exponential decay time constant p
2720   is defined such that data p samples old is multiplied by 1/e, which means
2721   that a = exp(-1/p). We can maintain the same time constant for a variable
2722   sampling interval i by using a = exp(-i/p).
2723
2724   The rate we are measuring is messages per period, suitable for directly
2725   comparing with the limit. The average rate between now and the previous
2726   message is period / interval, which we feed into the EWMA as the sample.
2727
2728   It turns out that the number of messages required for the smoothed rate
2729   to reach the limit when they are sent in a burst is equal to the limit.
2730   This can be seen by analysing the value of the smoothed rate after N
2731   messages sent at even intervals. Let k = (1 - a) * p/i
2732
2733     rate_1 = (1 - a) * p/i + a * rate_0
2734            = k + a * rate_0
2735     rate_2 = k + a * rate_1
2736            = k + a * k + a^2 * rate_0
2737     rate_3 = k + a * k + a^2 * k + a^3 * rate_0
2738     rate_N = rate_0 * a^N + k * SUM(x=0..N-1)(a^x)
2739            = rate_0 * a^N + k * (1 - a^N) / (1 - a)
2740            = rate_0 * a^N + p/i * (1 - a^N)
2741
2742   When N is large, a^N -> 0 so rate_N -> p/i as desired.
2743
2744     rate_N = p/i + (rate_0 - p/i) * a^N
2745     a^N = (rate_N - p/i) / (rate_0 - p/i)
2746     N * -i/p = log((rate_N - p/i) / (rate_0 - p/i))
2747     N = p/i * log((rate_0 - p/i) / (rate_N - p/i))
2748
2749   Numerical analysis of the above equation, setting the computed rate to
2750   increase from rate_0 = 0 to rate_N = limit, shows that for large sending
2751   rates, p/i, the number of messages N = limit. So limit serves as both the
2752   maximum rate measured in messages per period, and the maximum number of
2753   messages that can be sent in a fast burst. */
2754
2755   double this_time = (double)tv.tv_sec
2756                    + (double)tv.tv_usec / 1000000.0;
2757   double prev_time = (double)dbd->time_stamp
2758                    + (double)dbd->time_usec / 1000000.0;
2759
2760   /* We must avoid division by zero, and deal gracefully with the clock going
2761   backwards. If we blunder ahead when time is in reverse then the computed
2762   rate will be bogus. To be safe we clamp interval to a very small number. */
2763
2764   double interval = this_time - prev_time <= 0.0 ? 1e-9
2765                   : this_time - prev_time;
2766
2767   double i_over_p = interval / period;
2768   double a = exp(-i_over_p);
2769
2770   /* Combine the instantaneous rate (period / interval) with the previous rate
2771   using the smoothing factor a. In order to measure sized events, multiply the
2772   instantaneous rate by the count of bytes or recipients etc. */
2773
2774   dbd->time_stamp = tv.tv_sec;
2775   dbd->time_usec = tv.tv_usec;
2776   dbd->rate = (1 - a) * count / i_over_p + a * dbd->rate;
2777
2778   /* When events are very widely spaced the computed rate tends towards zero.
2779   Although this is accurate it turns out not to be useful for our purposes,
2780   especially when the first event after a long silence is the start of a spam
2781   run. A more useful model is that the rate for an isolated event should be the
2782   size of the event per the period size, ignoring the lack of events outside
2783   the current period and regardless of where the event falls in the period. So,
2784   if the interval was so long that the calculated rate is unhelpfully small, we
2785   re-intialize the rate. In the absence of higher-rate bursts, the condition
2786   below is true if the interval is greater than the period. */
2787
2788   if (dbd->rate < count) dbd->rate = count;
2789   }
2790
2791 /* Clients sending at the limit are considered to be over the limit.
2792 This matters for edge cases such as a limit of zero, when the client
2793 should be completely blocked. */
2794
2795 rc = (dbd->rate < limit)? FAIL : OK;
2796
2797 /* Update the state if the rate is low or if we are being strict. If we
2798 are in leaky mode and the sender's rate is too high, we do not update
2799 the recorded rate in order to avoid an over-aggressive sender's retry
2800 rate preventing them from getting any email through. If readonly is set,
2801 neither leaky nor strict are set, so we do not do any updates. */
2802
2803 if ((rc == FAIL && leaky) || strict)
2804   {
2805   dbfn_write(dbm, key, dbdb, dbdb_size);
2806   HDEBUG(D_acl) debug_printf("ratelimit db updated\n");
2807   }
2808 else
2809   {
2810   HDEBUG(D_acl) debug_printf("ratelimit db not updated: %s\n",
2811     readonly? "readonly mode" : "over the limit, but leaky");
2812   }
2813
2814 dbfn_close(dbm);
2815
2816 /* Store the result in the tree for future reference. */
2817
2818 t = store_get(sizeof(tree_node) + Ustrlen(key));
2819 t->data.ptr = dbd;
2820 Ustrcpy(t->name, key);
2821 (void)tree_insertnode(anchor, t);
2822
2823 /* We create the formatted version of the sender's rate very late in
2824 order to ensure that it is done using the correct storage pool. */
2825
2826 store_pool = old_pool;
2827 sender_rate = string_sprintf("%.1f", dbd->rate);
2828
2829 HDEBUG(D_acl)
2830   debug_printf("ratelimit computed rate %s\n", sender_rate);
2831
2832 return rc;
2833 }
2834
2835
2836
2837 /*************************************************
2838 *            The udpsend ACL modifier            *
2839 *************************************************/
2840
2841 /* Called by acl_check_condition() below.
2842
2843 Arguments:
2844   arg          the option string for udpsend=
2845   log_msgptr   for error messages
2846
2847 Returns:       OK        - Completed.
2848                DEFER     - Problem with DNS lookup.
2849                ERROR     - Syntax error in options.
2850 */
2851
2852 static int
2853 acl_udpsend(uschar *arg, uschar **log_msgptr)
2854 {
2855 int sep = 0;
2856 uschar *hostname;
2857 uschar *portstr;
2858 uschar *portend;
2859 host_item *h;
2860 int portnum;
2861 int len;
2862 int r, s;
2863 uschar * errstr;
2864
2865 hostname = string_nextinlist(&arg, &sep, NULL, 0);
2866 portstr = string_nextinlist(&arg, &sep, NULL, 0);
2867
2868 if (hostname == NULL)
2869   {
2870   *log_msgptr = US"missing destination host in \"udpsend\" modifier";
2871   return ERROR;
2872   }
2873 if (portstr == NULL)
2874   {
2875   *log_msgptr = US"missing destination port in \"udpsend\" modifier";
2876   return ERROR;
2877   }
2878 if (arg == NULL)
2879   {
2880   *log_msgptr = US"missing datagram payload in \"udpsend\" modifier";
2881   return ERROR;
2882   }
2883 portnum = Ustrtol(portstr, &portend, 10);
2884 if (*portend != '\0')
2885   {
2886   *log_msgptr = US"bad destination port in \"udpsend\" modifier";
2887   return ERROR;
2888   }
2889
2890 /* Make a single-item host list. */
2891 h = store_get(sizeof(host_item));
2892 memset(h, 0, sizeof(host_item));
2893 h->name = hostname;
2894 h->port = portnum;
2895 h->mx = MX_NONE;
2896
2897 if (string_is_ip_address(hostname, NULL))
2898   h->address = hostname, r = HOST_FOUND;
2899 else
2900   r = host_find_byname(h, NULL, 0, NULL, FALSE);
2901 if (r == HOST_FIND_FAILED || r == HOST_FIND_AGAIN)
2902   {
2903   *log_msgptr = US"DNS lookup failed in \"udpsend\" modifier";
2904   return DEFER;
2905   }
2906
2907 HDEBUG(D_acl)
2908   debug_printf("udpsend [%s]:%d %s\n", h->address, portnum, arg);
2909
2910 r = s = ip_connectedsocket(SOCK_DGRAM, h->address, portnum, portnum,
2911                 1, NULL, &errstr);
2912 if (r < 0) goto defer;
2913 len = Ustrlen(arg);
2914 r = send(s, arg, len, 0);
2915 if (r < 0)
2916   {
2917   errstr = US strerror(errno);
2918   close(s);
2919   goto defer;
2920   }
2921 close(s);
2922 if (r < len)
2923   {
2924   *log_msgptr =
2925     string_sprintf("\"udpsend\" truncated from %d to %d octets", len, r);
2926   return DEFER;
2927   }
2928
2929 HDEBUG(D_acl)
2930   debug_printf("udpsend %d bytes\n", r);
2931
2932 return OK;
2933
2934 defer:
2935 *log_msgptr = string_sprintf("\"udpsend\" failed: %s", errstr);
2936 return DEFER;
2937 }
2938
2939
2940
2941 /*************************************************
2942 *   Handle conditions/modifiers on an ACL item   *
2943 *************************************************/
2944
2945 /* Called from acl_check() below.
2946
2947 Arguments:
2948   verb         ACL verb
2949   cb           ACL condition block - if NULL, result is OK
2950   where        where called from
2951   addr         the address being checked for RCPT, or NULL
2952   level        the nesting level
2953   epp          pointer to pass back TRUE if "endpass" encountered
2954                  (applies only to "accept" and "discard")
2955   user_msgptr  user message pointer
2956   log_msgptr   log message pointer
2957   basic_errno  pointer to where to put verify error
2958
2959 Returns:       OK        - all conditions are met
2960                DISCARD   - an "acl" condition returned DISCARD - only allowed
2961                              for "accept" or "discard" verbs
2962                FAIL      - at least one condition fails
2963                FAIL_DROP - an "acl" condition returned FAIL_DROP
2964                DEFER     - can't tell at the moment (typically, lookup defer,
2965                              but can be temporary callout problem)
2966                ERROR     - ERROR from nested ACL or expansion failure or other
2967                              error
2968 */
2969
2970 static int
2971 acl_check_condition(int verb, acl_condition_block *cb, int where,
2972   address_item *addr, int level, BOOL *epp, uschar **user_msgptr,
2973   uschar **log_msgptr, int *basic_errno)
2974 {
2975 uschar *user_message = NULL;
2976 uschar *log_message = NULL;
2977 uschar *debug_tag = NULL;
2978 uschar *debug_opts = NULL;
2979 uschar *p = NULL;
2980 int rc = OK;
2981 #ifdef WITH_CONTENT_SCAN
2982 int sep = '/';
2983 #endif
2984
2985 for (; cb != NULL; cb = cb->next)
2986   {
2987   uschar *arg;
2988   int control_type;
2989
2990   /* The message and log_message items set up messages to be used in
2991   case of rejection. They are expanded later. */
2992
2993   if (cb->type == ACLC_MESSAGE)
2994     {
2995     user_message = cb->arg;
2996     continue;
2997     }
2998
2999   if (cb->type == ACLC_LOG_MESSAGE)
3000     {
3001     log_message = cb->arg;
3002     continue;
3003     }
3004
3005   /* The endpass "condition" just sets a flag to show it occurred. This is
3006   checked at compile time to be on an "accept" or "discard" item. */
3007
3008   if (cb->type == ACLC_ENDPASS)
3009     {
3010     *epp = TRUE;
3011     continue;
3012     }
3013
3014   /* For other conditions and modifiers, the argument is expanded now for some
3015   of them, but not for all, because expansion happens down in some lower level
3016   checking functions in some cases. */
3017
3018   if (cond_expand_at_top[cb->type])
3019     {
3020     arg = expand_string(cb->arg);
3021     if (arg == NULL)
3022       {
3023       if (expand_string_forcedfail) continue;
3024       *log_msgptr = string_sprintf("failed to expand ACL string \"%s\": %s",
3025         cb->arg, expand_string_message);
3026       return search_find_defer? DEFER : ERROR;
3027       }
3028     }
3029   else arg = cb->arg;
3030
3031   /* Show condition, and expanded condition if it's different */
3032
3033   HDEBUG(D_acl)
3034     {
3035     int lhswidth = 0;
3036     debug_printf("check %s%s %n",
3037       (!cond_modifiers[cb->type] && cb->u.negated)? "!":"",
3038       conditions[cb->type], &lhswidth);
3039
3040     if (cb->type == ACLC_SET)
3041       {
3042       debug_printf("acl_%s ", cb->u.varname);
3043       lhswidth += 5 + Ustrlen(cb->u.varname);
3044       }
3045
3046     debug_printf("= %s\n", cb->arg);
3047
3048     if (arg != cb->arg)
3049       debug_printf("%.*s= %s\n", lhswidth,
3050       US"                             ", CS arg);
3051     }
3052
3053   /* Check that this condition makes sense at this time */
3054
3055   if ((cond_forbids[cb->type] & (1 << where)) != 0)
3056     {
3057     *log_msgptr = string_sprintf("cannot %s %s condition in %s ACL",
3058       cond_modifiers[cb->type]? "use" : "test",
3059       conditions[cb->type], acl_wherenames[where]);
3060     return ERROR;
3061     }
3062
3063   /* Run the appropriate test for each condition, or take the appropriate
3064   action for the remaining modifiers. */
3065
3066   switch(cb->type)
3067     {
3068     case ACLC_ADD_HEADER:
3069     setup_header(arg);
3070     break;
3071
3072     /* A nested ACL that returns "discard" makes sense only for an "accept" or
3073     "discard" verb. */
3074
3075     case ACLC_ACL:
3076       rc = acl_check_wargs(where, addr, arg, level+1, user_msgptr, log_msgptr);
3077       if (rc == DISCARD && verb != ACL_ACCEPT && verb != ACL_DISCARD)
3078         {
3079         *log_msgptr = string_sprintf("nested ACL returned \"discard\" for "
3080           "\"%s\" command (only allowed with \"accept\" or \"discard\")",
3081           verbs[verb]);
3082         return ERROR;
3083         }
3084     break;
3085
3086     case ACLC_AUTHENTICATED:
3087     rc = (sender_host_authenticated == NULL)? FAIL :
3088       match_isinlist(sender_host_authenticated, &arg, 0, NULL, NULL, MCL_STRING,
3089         TRUE, NULL);
3090     break;
3091
3092     #ifdef EXPERIMENTAL_BRIGHTMAIL
3093     case ACLC_BMI_OPTIN:
3094       {
3095       int old_pool = store_pool;
3096       store_pool = POOL_PERM;
3097       bmi_current_optin = string_copy(arg);
3098       store_pool = old_pool;
3099       }
3100     break;
3101     #endif
3102
3103     case ACLC_CONDITION:
3104     /* The true/false parsing here should be kept in sync with that used in
3105     expand.c when dealing with ECOND_BOOL so that we don't have too many
3106     different definitions of what can be a boolean. */
3107     if (*arg == '-'
3108         ? Ustrspn(arg+1, "0123456789") == Ustrlen(arg+1)    /* Negative number */
3109         : Ustrspn(arg,   "0123456789") == Ustrlen(arg))     /* Digits, or empty */
3110       rc = (Uatoi(arg) == 0)? FAIL : OK;
3111     else
3112       rc = (strcmpic(arg, US"no") == 0 ||
3113             strcmpic(arg, US"false") == 0)? FAIL :
3114            (strcmpic(arg, US"yes") == 0 ||
3115             strcmpic(arg, US"true") == 0)? OK : DEFER;
3116     if (rc == DEFER)
3117       *log_msgptr = string_sprintf("invalid \"condition\" value \"%s\"", arg);
3118     break;
3119
3120     case ACLC_CONTINUE:    /* Always succeeds */
3121     break;
3122
3123     case ACLC_CONTROL:
3124     control_type = decode_control(arg, &p, where, log_msgptr);
3125
3126     /* Check if this control makes sense at this time */
3127
3128     if ((control_forbids[control_type] & (1 << where)) != 0)
3129       {
3130       *log_msgptr = string_sprintf("cannot use \"control=%s\" in %s ACL",
3131         controls[control_type], acl_wherenames[where]);
3132       return ERROR;
3133       }
3134
3135     switch(control_type)
3136       {
3137       case CONTROL_AUTH_UNADVERTISED:
3138       allow_auth_unadvertised = TRUE;
3139       break;
3140
3141       #ifdef EXPERIMENTAL_BRIGHTMAIL
3142       case CONTROL_BMI_RUN:
3143       bmi_run = 1;
3144       break;
3145       #endif
3146
3147       #ifndef DISABLE_DKIM
3148       case CONTROL_DKIM_VERIFY:
3149       dkim_disable_verify = TRUE;
3150       #ifdef EXPERIMENTAL_DMARC
3151       /* Since DKIM was blocked, skip DMARC too */
3152       dmarc_disable_verify = TRUE;
3153       dmarc_enable_forensic = FALSE;
3154       #endif
3155       break;
3156       #endif
3157
3158       #ifdef EXPERIMENTAL_DMARC
3159       case CONTROL_DMARC_VERIFY:
3160       dmarc_disable_verify = TRUE;
3161       break;
3162
3163       case CONTROL_DMARC_FORENSIC:
3164       dmarc_enable_forensic = TRUE;
3165       break;
3166       #endif
3167
3168       case CONTROL_DSCP:
3169       if (*p == '/')
3170         {
3171         int fd, af, level, optname, value;
3172         /* If we are acting on stdin, the setsockopt may fail if stdin is not
3173         a socket; we can accept that, we'll just debug-log failures anyway. */
3174         fd = fileno(smtp_in);
3175         af = ip_get_address_family(fd);
3176         if (af < 0)
3177           {
3178           HDEBUG(D_acl)
3179             debug_printf("smtp input is probably not a socket [%s], not setting DSCP\n",
3180                 strerror(errno));
3181           break;
3182           }
3183         if (dscp_lookup(p+1, af, &level, &optname, &value))
3184           {
3185           if (setsockopt(fd, level, optname, &value, sizeof(value)) < 0)
3186             {
3187             HDEBUG(D_acl) debug_printf("failed to set input DSCP[%s]: %s\n",
3188                 p+1, strerror(errno));
3189             }
3190           else
3191             {
3192             HDEBUG(D_acl) debug_printf("set input DSCP to \"%s\"\n", p+1);
3193             }
3194           }
3195         else
3196           {
3197           *log_msgptr = string_sprintf("unrecognised DSCP value in \"control=%s\"", arg);
3198           return ERROR;
3199           }
3200         }
3201       else
3202         {
3203         *log_msgptr = string_sprintf("syntax error in \"control=%s\"", arg);
3204         return ERROR;
3205         }
3206       break;
3207
3208       case CONTROL_ERROR:
3209       return ERROR;
3210
3211       case CONTROL_CASEFUL_LOCAL_PART:
3212       deliver_localpart = addr->cc_local_part;
3213       break;
3214
3215       case CONTROL_CASELOWER_LOCAL_PART:
3216       deliver_localpart = addr->lc_local_part;
3217       break;
3218
3219       case CONTROL_ENFORCE_SYNC:
3220       smtp_enforce_sync = TRUE;
3221       break;
3222
3223       case CONTROL_NO_ENFORCE_SYNC:
3224       smtp_enforce_sync = FALSE;
3225       break;
3226
3227       #ifdef WITH_CONTENT_SCAN
3228       case CONTROL_NO_MBOX_UNSPOOL:
3229       no_mbox_unspool = TRUE;
3230       break;
3231       #endif
3232
3233       case CONTROL_NO_MULTILINE:
3234       no_multiline_responses = TRUE;
3235       break;
3236
3237       case CONTROL_NO_PIPELINING:
3238       pipelining_enable = FALSE;
3239       break;
3240
3241       case CONTROL_NO_DELAY_FLUSH:
3242       disable_delay_flush = TRUE;
3243       break;
3244
3245       case CONTROL_NO_CALLOUT_FLUSH:
3246       disable_callout_flush = TRUE;
3247       break;
3248
3249       case CONTROL_FAKEREJECT:
3250       cancel_cutthrough_connection("fakereject");
3251       case CONTROL_FAKEDEFER:
3252       fake_response = (control_type == CONTROL_FAKEDEFER) ? DEFER : FAIL;
3253       if (*p == '/')
3254         {
3255         uschar *pp = p + 1;
3256         while (*pp != 0) pp++;
3257         fake_response_text = expand_string(string_copyn(p+1, pp-p-1));
3258         p = pp;
3259         }
3260        else
3261         {
3262         /* Explicitly reset to default string */
3263         fake_response_text = US"Your message has been rejected but is being kept for evaluation.\nIf it was a legitimate message, it may still be delivered to the target recipient(s).";
3264         }
3265       break;
3266
3267       case CONTROL_FREEZE:
3268       deliver_freeze = TRUE;
3269       deliver_frozen_at = time(NULL);
3270       freeze_tell = freeze_tell_config;       /* Reset to configured value */
3271       if (Ustrncmp(p, "/no_tell", 8) == 0)
3272         {
3273         p += 8;
3274         freeze_tell = NULL;
3275         }
3276       if (*p != 0)
3277         {
3278         *log_msgptr = string_sprintf("syntax error in \"control=%s\"", arg);
3279         return ERROR;
3280         }
3281       cancel_cutthrough_connection("item frozen");
3282       break;
3283
3284       case CONTROL_QUEUE_ONLY:
3285       queue_only_policy = TRUE;
3286       cancel_cutthrough_connection("queueing forced");
3287       break;
3288
3289       case CONTROL_SUBMISSION:
3290       originator_name = US"";
3291       submission_mode = TRUE;
3292       while (*p == '/')
3293         {
3294         if (Ustrncmp(p, "/sender_retain", 14) == 0)
3295           {
3296           p += 14;
3297           active_local_sender_retain = TRUE;
3298           active_local_from_check = FALSE;
3299           }
3300         else if (Ustrncmp(p, "/domain=", 8) == 0)
3301           {
3302           uschar *pp = p + 8;
3303           while (*pp != 0 && *pp != '/') pp++;
3304           submission_domain = string_copyn(p+8, pp-p-8);
3305           p = pp;
3306           }
3307         /* The name= option must be last, because it swallows the rest of
3308         the string. */
3309         else if (Ustrncmp(p, "/name=", 6) == 0)
3310           {
3311           uschar *pp = p + 6;
3312           while (*pp != 0) pp++;
3313           submission_name = string_copy(parse_fix_phrase(p+6, pp-p-6,
3314             big_buffer, big_buffer_size));
3315           p = pp;
3316           }
3317         else break;
3318         }
3319       if (*p != 0)
3320         {
3321         *log_msgptr = string_sprintf("syntax error in \"control=%s\"", arg);
3322         return ERROR;
3323         }
3324       break;
3325
3326       case CONTROL_DEBUG:
3327       while (*p == '/')
3328         {
3329         if (Ustrncmp(p, "/tag=", 5) == 0)
3330           {
3331           uschar *pp = p + 5;
3332           while (*pp != '\0' && *pp != '/') pp++;
3333           debug_tag = string_copyn(p+5, pp-p-5);
3334           p = pp;
3335           }
3336         else if (Ustrncmp(p, "/opts=", 6) == 0)
3337           {
3338           uschar *pp = p + 6;
3339           while (*pp != '\0' && *pp != '/') pp++;
3340           debug_opts = string_copyn(p+6, pp-p-6);
3341           p = pp;
3342           }
3343         }
3344         debug_logging_activate(debug_tag, debug_opts);
3345       break;
3346
3347       case CONTROL_SUPPRESS_LOCAL_FIXUPS:
3348       suppress_local_fixups = TRUE;
3349       break;
3350
3351       case CONTROL_CUTTHROUGH_DELIVERY:
3352       if (deliver_freeze)
3353         *log_msgptr = US"frozen";
3354       else if (queue_only_policy)
3355         *log_msgptr = US"queue-only";
3356       else if (fake_response == FAIL)
3357         *log_msgptr = US"fakereject";
3358       else
3359         {
3360         cutthrough_delivery = TRUE;
3361         break;
3362         }
3363       *log_msgptr = string_sprintf("\"control=%s\" on %s item",
3364                                     arg, *log_msgptr);
3365       return ERROR;
3366       }
3367     break;
3368
3369     #ifdef EXPERIMENTAL_DCC
3370     case ACLC_DCC:
3371       {
3372       /* Seperate the regular expression and any optional parameters. */
3373       uschar *ss = string_nextinlist(&arg, &sep, big_buffer, big_buffer_size);
3374       /* Run the dcc backend. */
3375       rc = dcc_process(&ss);
3376       /* Modify return code based upon the existance of options. */
3377       while ((ss = string_nextinlist(&arg, &sep, big_buffer, big_buffer_size))
3378             != NULL) {
3379         if (strcmpic(ss, US"defer_ok") == 0 && rc == DEFER)
3380           {
3381           /* FAIL so that the message is passed to the next ACL */
3382           rc = FAIL;
3383           }
3384         }
3385       }
3386     break;
3387     #endif
3388
3389     #ifdef WITH_CONTENT_SCAN
3390     case ACLC_DECODE:
3391     rc = mime_decode(&arg);
3392     break;
3393     #endif
3394
3395     case ACLC_DELAY:
3396       {
3397       int delay = readconf_readtime(arg, 0, FALSE);
3398       if (delay < 0)
3399         {
3400         *log_msgptr = string_sprintf("syntax error in argument for \"delay\" "
3401           "modifier: \"%s\" is not a time value", arg);
3402         return ERROR;
3403         }
3404       else
3405         {
3406         HDEBUG(D_acl) debug_printf("delay modifier requests %d-second delay\n",
3407           delay);
3408         if (host_checking)
3409           {
3410           HDEBUG(D_acl)
3411             debug_printf("delay skipped in -bh checking mode\n");
3412           }
3413
3414         /* It appears to be impossible to detect that a TCP/IP connection has
3415         gone away without reading from it. This means that we cannot shorten
3416         the delay below if the client goes away, because we cannot discover
3417         that the client has closed its end of the connection. (The connection
3418         is actually in a half-closed state, waiting for the server to close its
3419         end.) It would be nice to be able to detect this state, so that the
3420         Exim process is not held up unnecessarily. However, it seems that we
3421         can't. The poll() function does not do the right thing, and in any case
3422         it is not always available.
3423
3424         NOTE 1: If ever this state of affairs changes, remember that we may be
3425         dealing with stdin/stdout here, in addition to TCP/IP connections.
3426         Also, delays may be specified for non-SMTP input, where smtp_out and
3427         smtp_in will be NULL. Whatever is done must work in all cases.
3428
3429         NOTE 2: The added feature of flushing the output before a delay must
3430         apply only to SMTP input. Hence the test for smtp_out being non-NULL.
3431         */
3432
3433         else
3434           {
3435           if (smtp_out != NULL && !disable_delay_flush) mac_smtp_fflush();
3436           while (delay > 0) delay = sleep(delay);
3437           }
3438         }
3439       }
3440     break;
3441
3442     #ifdef WITH_OLD_DEMIME
3443     case ACLC_DEMIME:
3444       rc = demime(&arg);
3445     break;
3446     #endif
3447
3448     #ifndef DISABLE_DKIM
3449     case ACLC_DKIM_SIGNER:
3450     if (dkim_cur_signer != NULL)
3451       rc = match_isinlist(dkim_cur_signer,
3452                           &arg,0,NULL,NULL,MCL_STRING,TRUE,NULL);
3453     else
3454        rc = FAIL;
3455     break;
3456
3457     case ACLC_DKIM_STATUS:
3458     rc = match_isinlist(dkim_exim_expand_query(DKIM_VERIFY_STATUS),
3459                         &arg,0,NULL,NULL,MCL_STRING,TRUE,NULL);
3460     break;
3461     #endif
3462
3463     #ifdef EXPERIMENTAL_DMARC
3464     case ACLC_DMARC_STATUS:
3465     if (!dmarc_has_been_checked)
3466       dmarc_process();
3467     dmarc_has_been_checked = TRUE;
3468     /* used long way of dmarc_exim_expand_query() in case we need more
3469      * view into the process in the future. */
3470     rc = match_isinlist(dmarc_exim_expand_query(DMARC_VERIFY_STATUS),
3471                         &arg,0,NULL,NULL,MCL_STRING,TRUE,NULL);
3472     break;
3473     #endif
3474
3475     case ACLC_DNSLISTS:
3476     rc = verify_check_dnsbl(&arg);
3477     break;
3478
3479     case ACLC_DOMAINS:
3480     rc = match_isinlist(addr->domain, &arg, 0, &domainlist_anchor,
3481       addr->domain_cache, MCL_DOMAIN, TRUE, &deliver_domain_data);
3482     break;
3483
3484     /* The value in tls_cipher is the full cipher name, for example,
3485     TLSv1:DES-CBC3-SHA:168, whereas the values to test for are just the
3486     cipher names such as DES-CBC3-SHA. But program defensively. We don't know
3487     what may in practice come out of the SSL library - which at the time of
3488     writing is poorly documented. */
3489
3490     case ACLC_ENCRYPTED:
3491     if (tls_in.cipher == NULL) rc = FAIL; else
3492       {
3493       uschar *endcipher = NULL;
3494       uschar *cipher = Ustrchr(tls_in.cipher, ':');
3495       if (cipher == NULL) cipher = tls_in.cipher; else
3496         {
3497         endcipher = Ustrchr(++cipher, ':');
3498         if (endcipher != NULL) *endcipher = 0;
3499         }
3500       rc = match_isinlist(cipher, &arg, 0, NULL, NULL, MCL_STRING, TRUE, NULL);
3501       if (endcipher != NULL) *endcipher = ':';
3502       }
3503     break;
3504
3505     /* Use verify_check_this_host() instead of verify_check_host() so that
3506     we can pass over &host_data to catch any looked up data. Once it has been
3507     set, it retains its value so that it's still there if another ACL verb
3508     comes through here and uses the cache. However, we must put it into
3509     permanent store in case it is also expected to be used in a subsequent
3510     message in the same SMTP connection. */
3511
3512     case ACLC_HOSTS:
3513     rc = verify_check_this_host(&arg, sender_host_cache, NULL,
3514       (sender_host_address == NULL)? US"" : sender_host_address, &host_data);
3515     if (host_data != NULL) host_data = string_copy_malloc(host_data);
3516     break;
3517
3518     case ACLC_LOCAL_PARTS:
3519     rc = match_isinlist(addr->cc_local_part, &arg, 0,
3520       &localpartlist_anchor, addr->localpart_cache, MCL_LOCALPART, TRUE,
3521       &deliver_localpart_data);
3522     break;
3523
3524     case ACLC_LOG_REJECT_TARGET:
3525       {
3526       int logbits = 0;
3527       int sep = 0;
3528       uschar *s = arg;
3529       uschar *ss;
3530       while ((ss = string_nextinlist(&s, &sep, big_buffer, big_buffer_size))
3531               != NULL)
3532         {
3533         if (Ustrcmp(ss, "main") == 0) logbits |= LOG_MAIN;
3534         else if (Ustrcmp(ss, "panic") == 0) logbits |= LOG_PANIC;
3535         else if (Ustrcmp(ss, "reject") == 0) logbits |= LOG_REJECT;
3536         else
3537           {
3538           logbits |= LOG_MAIN|LOG_REJECT;
3539           log_write(0, LOG_MAIN|LOG_PANIC, "unknown log name \"%s\" in "
3540             "\"log_reject_target\" in %s ACL", ss, acl_wherenames[where]);
3541           }
3542         }
3543       log_reject_target = logbits;
3544       }
3545     break;
3546
3547     case ACLC_LOGWRITE:
3548       {
3549       int logbits = 0;
3550       uschar *s = arg;
3551       if (*s == ':')
3552         {
3553         s++;
3554         while (*s != ':')
3555           {
3556           if (Ustrncmp(s, "main", 4) == 0)
3557             { logbits |= LOG_MAIN; s += 4; }
3558           else if (Ustrncmp(s, "panic", 5) == 0)
3559             { logbits |= LOG_PANIC; s += 5; }
3560           else if (Ustrncmp(s, "reject", 6) == 0)
3561             { logbits |= LOG_REJECT; s += 6; }
3562           else
3563             {
3564             logbits = LOG_MAIN|LOG_PANIC;
3565             s = string_sprintf(":unknown log name in \"%s\" in "
3566               "\"logwrite\" in %s ACL", arg, acl_wherenames[where]);
3567             }
3568           if (*s == ',') s++;
3569           }
3570         s++;
3571         }
3572       while (isspace(*s)) s++;
3573
3574
3575       if (logbits == 0) logbits = LOG_MAIN;
3576       log_write(0, logbits, "%s", string_printing(s));
3577       }
3578     break;
3579
3580     #ifdef WITH_CONTENT_SCAN
3581     case ACLC_MALWARE:
3582       {
3583       /* Separate the regular expression and any optional parameters. */
3584       uschar *ss = string_nextinlist(&arg, &sep, big_buffer, big_buffer_size);
3585       /* Run the malware backend. */
3586       rc = malware(&ss);
3587       /* Modify return code based upon the existance of options. */
3588       while ((ss = string_nextinlist(&arg, &sep, big_buffer, big_buffer_size))
3589             != NULL) {
3590         if (strcmpic(ss, US"defer_ok") == 0 && rc == DEFER)
3591           {
3592           /* FAIL so that the message is passed to the next ACL */
3593           rc = FAIL;
3594           }
3595         }
3596       }
3597     break;
3598
3599     case ACLC_MIME_REGEX:
3600     rc = mime_regex(&arg);
3601     break;
3602     #endif
3603
3604     case ACLC_RATELIMIT:
3605     rc = acl_ratelimit(arg, where, log_msgptr);
3606     break;
3607
3608     case ACLC_RECIPIENTS:
3609     rc = match_address_list(addr->address, TRUE, TRUE, &arg, NULL, -1, 0,
3610       &recipient_data);
3611     break;
3612
3613     #ifdef WITH_CONTENT_SCAN
3614     case ACLC_REGEX:
3615     rc = regex(&arg);
3616     break;
3617     #endif
3618
3619     case ACLC_REMOVE_HEADER:
3620     setup_remove_header(arg);
3621     break;
3622
3623     case ACLC_SENDER_DOMAINS:
3624       {
3625       uschar *sdomain;
3626       sdomain = Ustrrchr(sender_address, '@');
3627       sdomain = (sdomain == NULL)? US"" : sdomain + 1;
3628       rc = match_isinlist(sdomain, &arg, 0, &domainlist_anchor,
3629         sender_domain_cache, MCL_DOMAIN, TRUE, NULL);
3630       }
3631     break;
3632
3633     case ACLC_SENDERS:
3634     rc = match_address_list(sender_address, TRUE, TRUE, &arg,
3635       sender_address_cache, -1, 0, &sender_data);
3636     break;
3637
3638     /* Connection variables must persist forever */
3639
3640     case ACLC_SET:
3641       {
3642       int old_pool = store_pool;
3643       if (cb->u.varname[0] == 'c') store_pool = POOL_PERM;
3644       acl_var_create(cb->u.varname)->data.ptr = string_copy(arg);
3645       store_pool = old_pool;
3646       }
3647     break;
3648
3649     #ifdef WITH_CONTENT_SCAN
3650     case ACLC_SPAM:
3651       {
3652       /* Seperate the regular expression and any optional parameters. */
3653       uschar *ss = string_nextinlist(&arg, &sep, big_buffer, big_buffer_size);
3654       /* Run the spam backend. */
3655       rc = spam(&ss);
3656       /* Modify return code based upon the existance of options. */
3657       while ((ss = string_nextinlist(&arg, &sep, big_buffer, big_buffer_size))
3658             != NULL) {
3659         if (strcmpic(ss, US"defer_ok") == 0 && rc == DEFER)
3660           {
3661           /* FAIL so that the message is passed to the next ACL */
3662           rc = FAIL;
3663           }
3664         }
3665       }
3666     break;
3667     #endif
3668
3669     #ifdef EXPERIMENTAL_SPF
3670     case ACLC_SPF:
3671       rc = spf_process(&arg, sender_address, SPF_PROCESS_NORMAL);
3672     break;
3673     case ACLC_SPF_GUESS:
3674       rc = spf_process(&arg, sender_address, SPF_PROCESS_GUESS);
3675     break;
3676     #endif
3677
3678     case ACLC_UDPSEND:
3679     rc = acl_udpsend(arg, log_msgptr);
3680     break;
3681
3682     /* If the verb is WARN, discard any user message from verification, because
3683     such messages are SMTP responses, not header additions. The latter come
3684     only from explicit "message" modifiers. However, put the user message into
3685     $acl_verify_message so it can be used in subsequent conditions or modifiers
3686     (until something changes it). */
3687
3688     case ACLC_VERIFY:
3689     rc = acl_verify(where, addr, arg, user_msgptr, log_msgptr, basic_errno);
3690     acl_verify_message = *user_msgptr;
3691     if (verb == ACL_WARN) *user_msgptr = NULL;
3692     break;
3693
3694     default:
3695     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "internal ACL error: unknown "
3696       "condition %d", cb->type);
3697     break;
3698     }
3699
3700   /* If a condition was negated, invert OK/FAIL. */
3701
3702   if (!cond_modifiers[cb->type] && cb->u.negated)
3703     {
3704     if (rc == OK) rc = FAIL;
3705       else if (rc == FAIL || rc == FAIL_DROP) rc = OK;
3706     }
3707
3708   if (rc != OK) break;   /* Conditions loop */
3709   }
3710
3711
3712 /* If the result is the one for which "message" and/or "log_message" are used,
3713 handle the values of these modifiers. If there isn't a log message set, we make
3714 it the same as the user message.
3715
3716 "message" is a user message that will be included in an SMTP response. Unless
3717 it is empty, it overrides any previously set user message.
3718
3719 "log_message" is a non-user message, and it adds to any existing non-user
3720 message that is already set.
3721
3722 Most verbs have but a single return for which the messages are relevant, but
3723 for "discard", it's useful to have the log message both when it succeeds and
3724 when it fails. For "accept", the message is used in the OK case if there is no
3725 "endpass", but (for backwards compatibility) in the FAIL case if "endpass" is
3726 present. */
3727
3728 if (*epp && rc == OK) user_message = NULL;
3729
3730 if (((1<<rc) & msgcond[verb]) != 0)
3731   {
3732   uschar *expmessage;
3733   uschar *old_user_msgptr = *user_msgptr;
3734   uschar *old_log_msgptr = (*log_msgptr != NULL)? *log_msgptr : old_user_msgptr;
3735
3736   /* If the verb is "warn", messages generated by conditions (verification or
3737   nested ACLs) are always discarded. This also happens for acceptance verbs
3738   when they actually do accept. Only messages specified at this level are used.
3739   However, the value of an existing message is available in $acl_verify_message
3740   during expansions. */
3741
3742   if (verb == ACL_WARN ||
3743       (rc == OK && (verb == ACL_ACCEPT || verb == ACL_DISCARD)))
3744     *log_msgptr = *user_msgptr = NULL;
3745
3746   if (user_message != NULL)
3747     {
3748     acl_verify_message = old_user_msgptr;
3749     expmessage = expand_string(user_message);
3750     if (expmessage == NULL)
3751       {
3752       if (!expand_string_forcedfail)
3753         log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand ACL message \"%s\": %s",
3754           user_message, expand_string_message);
3755       }
3756     else if (expmessage[0] != 0) *user_msgptr = expmessage;
3757     }
3758
3759   if (log_message != NULL)
3760     {
3761     acl_verify_message = old_log_msgptr;
3762     expmessage = expand_string(log_message);
3763     if (expmessage == NULL)
3764       {
3765       if (!expand_string_forcedfail)
3766         log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand ACL message \"%s\": %s",
3767           log_message, expand_string_message);
3768       }
3769     else if (expmessage[0] != 0)
3770       {
3771       *log_msgptr = (*log_msgptr == NULL)? expmessage :
3772         string_sprintf("%s: %s", expmessage, *log_msgptr);
3773       }
3774     }
3775
3776   /* If no log message, default it to the user message */
3777
3778   if (*log_msgptr == NULL) *log_msgptr = *user_msgptr;
3779   }
3780
3781 acl_verify_message = NULL;
3782 return rc;
3783 }
3784
3785
3786
3787
3788
3789 /*************************************************
3790 *        Get line from a literal ACL             *
3791 *************************************************/
3792
3793 /* This function is passed to acl_read() in order to extract individual lines
3794 of a literal ACL, which we access via static pointers. We can destroy the
3795 contents because this is called only once (the compiled ACL is remembered).
3796
3797 This code is intended to treat the data in the same way as lines in the main
3798 Exim configuration file. That is:
3799
3800   . Leading spaces are ignored.
3801
3802   . A \ at the end of a line is a continuation - trailing spaces after the \
3803     are permitted (this is because I don't believe in making invisible things
3804     significant). Leading spaces on the continued part of a line are ignored.
3805
3806   . Physical lines starting (significantly) with # are totally ignored, and
3807     may appear within a sequence of backslash-continued lines.
3808
3809   . Blank lines are ignored, but will end a sequence of continuations.
3810
3811 Arguments: none
3812 Returns:   a pointer to the next line
3813 */
3814
3815
3816 static uschar *acl_text;          /* Current pointer in the text */
3817 static uschar *acl_text_end;      /* Points one past the terminating '0' */
3818
3819
3820 static uschar *
3821 acl_getline(void)
3822 {
3823 uschar *yield;
3824
3825 /* This loop handles leading blank lines and comments. */
3826
3827 for(;;)
3828   {
3829   while (isspace(*acl_text)) acl_text++;   /* Leading spaces/empty lines */
3830   if (*acl_text == 0) return NULL;         /* No more data */
3831   yield = acl_text;                        /* Potential data line */
3832
3833   while (*acl_text != 0 && *acl_text != '\n') acl_text++;
3834
3835   /* If we hit the end before a newline, we have the whole logical line. If
3836   it's a comment, there's no more data to be given. Otherwise, yield it. */
3837
3838   if (*acl_text == 0) return (*yield == '#')? NULL : yield;
3839
3840   /* After reaching a newline, end this loop if the physical line does not
3841   start with '#'. If it does, it's a comment, and the loop continues. */
3842
3843   if (*yield != '#') break;
3844   }
3845
3846 /* This loop handles continuations. We know we have some real data, ending in
3847 newline. See if there is a continuation marker at the end (ignoring trailing
3848 white space). We know that *yield is not white space, so no need to test for
3849 cont > yield in the backwards scanning loop. */
3850
3851 for(;;)
3852   {
3853   uschar *cont;
3854   for (cont = acl_text - 1; isspace(*cont); cont--);
3855
3856   /* If no continuation follows, we are done. Mark the end of the line and
3857   return it. */
3858
3859   if (*cont != '\\')
3860     {
3861     *acl_text++ = 0;
3862     return yield;
3863     }
3864
3865   /* We have encountered a continuation. Skip over whitespace at the start of
3866   the next line, and indeed the whole of the next line or lines if they are
3867   comment lines. */
3868
3869   for (;;)
3870     {
3871     while (*(++acl_text) == ' ' || *acl_text == '\t');
3872     if (*acl_text != '#') break;
3873     while (*(++acl_text) != 0 && *acl_text != '\n');
3874     }
3875
3876   /* We have the start of a continuation line. Move all the rest of the data
3877   to join onto the previous line, and then find its end. If the end is not a
3878   newline, we are done. Otherwise loop to look for another continuation. */
3879
3880   memmove(cont, acl_text, acl_text_end - acl_text);
3881   acl_text_end -= acl_text - cont;
3882   acl_text = cont;
3883   while (*acl_text != 0 && *acl_text != '\n') acl_text++;
3884   if (*acl_text == 0) return yield;
3885   }
3886
3887 /* Control does not reach here */
3888 }
3889
3890
3891
3892
3893
3894 /*************************************************
3895 *        Check access using an ACL               *
3896 *************************************************/
3897
3898 /* This function is called from address_check. It may recurse via
3899 acl_check_condition() - hence the use of a level to stop looping. The ACL is
3900 passed as a string which is expanded. A forced failure implies no access check
3901 is required. If the result is a single word, it is taken as the name of an ACL
3902 which is sought in the global ACL tree. Otherwise, it is taken as literal ACL
3903 text, complete with newlines, and parsed as such. In both cases, the ACL check
3904 is then run. This function uses an auxiliary function for acl_read() to call
3905 for reading individual lines of a literal ACL. This is acl_getline(), which
3906 appears immediately above.
3907
3908 Arguments:
3909   where        where called from
3910   addr         address item when called from RCPT; otherwise NULL
3911   s            the input string; NULL is the same as an empty ACL => DENY
3912   level        the nesting level
3913   user_msgptr  where to put a user error (for SMTP response)
3914   log_msgptr   where to put a logging message (not for SMTP response)
3915
3916 Returns:       OK         access is granted
3917                DISCARD    access is apparently granted...
3918                FAIL       access is denied
3919                FAIL_DROP  access is denied; drop the connection
3920                DEFER      can't tell at the moment
3921                ERROR      disaster
3922 */
3923
3924 static int
3925 acl_check_internal(int where, address_item *addr, uschar *s, int level,
3926   uschar **user_msgptr, uschar **log_msgptr)
3927 {
3928 int fd = -1;
3929 acl_block *acl = NULL;
3930 uschar *acl_name = US"inline ACL";
3931 uschar *ss;
3932
3933 /* Catch configuration loops */
3934
3935 if (level > 20)
3936   {
3937   *log_msgptr = US"ACL nested too deep: possible loop";
3938   return ERROR;
3939   }
3940
3941 if (s == NULL)
3942   {
3943   HDEBUG(D_acl) debug_printf("ACL is NULL: implicit DENY\n");
3944   return FAIL;
3945   }
3946
3947 /* At top level, we expand the incoming string. At lower levels, it has already
3948 been expanded as part of condition processing. */
3949
3950 if (level == 0)
3951   {
3952   ss = expand_string(s);
3953   if (ss == NULL)
3954     {
3955     if (expand_string_forcedfail) return OK;
3956     *log_msgptr = string_sprintf("failed to expand ACL string \"%s\": %s", s,
3957       expand_string_message);
3958     return ERROR;
3959     }
3960   }
3961 else ss = s;
3962
3963 while (isspace(*ss))ss++;
3964
3965 /* If we can't find a named ACL, the default is to parse it as an inline one.
3966 (Unless it begins with a slash; non-existent files give rise to an error.) */
3967
3968 acl_text = ss;
3969
3970 /* Handle the case of a string that does not contain any spaces. Look for a
3971 named ACL among those read from the configuration, or a previously read file.
3972 It is possible that the pointer to the ACL is NULL if the configuration
3973 contains a name with no data. If not found, and the text begins with '/',
3974 read an ACL from a file, and save it so it can be re-used. */
3975
3976 if (Ustrchr(ss, ' ') == NULL)
3977   {
3978   tree_node *t = tree_search(acl_anchor, ss);
3979   if (t != NULL)
3980     {
3981     acl = (acl_block *)(t->data.ptr);
3982     if (acl == NULL)
3983       {
3984       HDEBUG(D_acl) debug_printf("ACL \"%s\" is empty: implicit DENY\n", ss);
3985       return FAIL;
3986       }
3987     acl_name = string_sprintf("ACL \"%s\"", ss);
3988     HDEBUG(D_acl) debug_printf("using ACL \"%s\"\n", ss);
3989     }
3990
3991   else if (*ss == '/')
3992     {
3993     struct stat statbuf;
3994     fd = Uopen(ss, O_RDONLY, 0);
3995     if (fd < 0)
3996       {
3997       *log_msgptr = string_sprintf("failed to open ACL file \"%s\": %s", ss,
3998         strerror(errno));
3999       return ERROR;
4000       }
4001
4002     if (fstat(fd, &statbuf) != 0)
4003       {
4004       *log_msgptr = string_sprintf("failed to fstat ACL file \"%s\": %s", ss,
4005         strerror(errno));
4006       return ERROR;
4007       }
4008
4009     acl_text = store_get(statbuf.st_size + 1);
4010     acl_text_end = acl_text + statbuf.st_size + 1;
4011
4012     if (read(fd, acl_text, statbuf.st_size) != statbuf.st_size)
4013       {
4014       *log_msgptr = string_sprintf("failed to read ACL file \"%s\": %s",
4015         ss, strerror(errno));
4016       return ERROR;
4017       }
4018     acl_text[statbuf.st_size] = 0;
4019     (void)close(fd);
4020
4021     acl_name = string_sprintf("ACL \"%s\"", ss);
4022     HDEBUG(D_acl) debug_printf("read ACL from file %s\n", ss);
4023     }
4024   }
4025
4026 /* Parse an ACL that is still in text form. If it came from a file, remember it
4027 in the ACL tree, having read it into the POOL_PERM store pool so that it
4028 persists between multiple messages. */
4029
4030 if (acl == NULL)
4031   {
4032   int old_pool = store_pool;
4033   if (fd >= 0) store_pool = POOL_PERM;
4034   acl = acl_read(acl_getline, log_msgptr);
4035   store_pool = old_pool;
4036   if (acl == NULL && *log_msgptr != NULL) return ERROR;
4037   if (fd >= 0)
4038     {
4039     tree_node *t = store_get_perm(sizeof(tree_node) + Ustrlen(ss));
4040     Ustrcpy(t->name, ss);
4041     t->data.ptr = acl;
4042     (void)tree_insertnode(&acl_anchor, t);
4043     }
4044   }
4045
4046 /* Now we have an ACL to use. It's possible it may be NULL. */
4047
4048 while (acl != NULL)
4049   {
4050   int cond;
4051   int basic_errno = 0;
4052   BOOL endpass_seen = FALSE;
4053
4054   *log_msgptr = *user_msgptr = NULL;
4055   acl_temp_details = FALSE;
4056
4057   if ((where == ACL_WHERE_QUIT || where == ACL_WHERE_NOTQUIT) &&
4058       acl->verb != ACL_ACCEPT &&
4059       acl->verb != ACL_WARN)
4060     {
4061     *log_msgptr = string_sprintf("\"%s\" is not allowed in a QUIT or not-QUIT ACL",
4062       verbs[acl->verb]);
4063     return ERROR;
4064     }
4065
4066   HDEBUG(D_acl) debug_printf("processing \"%s\"\n", verbs[acl->verb]);
4067
4068   /* Clear out any search error message from a previous check before testing
4069   this condition. */
4070
4071   search_error_message = NULL;
4072   cond = acl_check_condition(acl->verb, acl->condition, where, addr, level,
4073     &endpass_seen, user_msgptr, log_msgptr, &basic_errno);
4074
4075   /* Handle special returns: DEFER causes a return except on a WARN verb;
4076   ERROR always causes a return. */
4077
4078   switch (cond)
4079     {
4080     case DEFER:
4081     HDEBUG(D_acl) debug_printf("%s: condition test deferred in %s\n", verbs[acl->verb], acl_name);
4082     if (basic_errno != ERRNO_CALLOUTDEFER)
4083       {
4084       if (search_error_message != NULL && *search_error_message != 0)
4085         *log_msgptr = search_error_message;
4086       if (smtp_return_error_details) acl_temp_details = TRUE;
4087       }
4088     else
4089       {
4090       acl_temp_details = TRUE;
4091       }
4092     if (acl->verb != ACL_WARN) return DEFER;
4093     break;
4094
4095     default:      /* Paranoia */
4096     case ERROR:
4097     HDEBUG(D_acl) debug_printf("%s: condition test error in %s\n", verbs[acl->verb], acl_name);
4098     return ERROR;
4099
4100     case OK:
4101     HDEBUG(D_acl) debug_printf("%s: condition test succeeded in %s\n",
4102       verbs[acl->verb], acl_name);
4103     break;
4104
4105     case FAIL:
4106     HDEBUG(D_acl) debug_printf("%s: condition test failed in %s\n", verbs[acl->verb], acl_name);
4107     break;
4108
4109     /* DISCARD and DROP can happen only from a nested ACL condition, and
4110     DISCARD can happen only for an "accept" or "discard" verb. */
4111
4112     case DISCARD:
4113     HDEBUG(D_acl) debug_printf("%s: condition test yielded \"discard\" in %s\n",
4114       verbs[acl->verb], acl_name);
4115     break;
4116
4117     case FAIL_DROP:
4118     HDEBUG(D_acl) debug_printf("%s: condition test yielded \"drop\" in %s\n",
4119       verbs[acl->verb], acl_name);
4120     break;
4121     }
4122
4123   /* At this point, cond for most verbs is either OK or FAIL or (as a result of
4124   a nested ACL condition) FAIL_DROP. However, for WARN, cond may be DEFER, and
4125   for ACCEPT and DISCARD, it may be DISCARD after a nested ACL call. */
4126
4127   switch(acl->verb)
4128     {
4129     case ACL_ACCEPT:
4130     if (cond == OK || cond == DISCARD) return cond;
4131     if (endpass_seen)
4132       {
4133       HDEBUG(D_acl) debug_printf("accept: endpass encountered - denying access\n");
4134       return cond;
4135       }
4136     break;
4137
4138     case ACL_DEFER:
4139     if (cond == OK)
4140       {
4141       acl_temp_details = TRUE;
4142       return DEFER;
4143       }
4144     break;
4145
4146     case ACL_DENY:
4147     if (cond == OK) return FAIL;
4148     break;
4149
4150     case ACL_DISCARD:
4151     if (cond == OK || cond == DISCARD) return DISCARD;
4152     if (endpass_seen)
4153       {
4154       HDEBUG(D_acl) debug_printf("discard: endpass encountered - denying access\n");
4155       return cond;
4156       }
4157     break;
4158
4159     case ACL_DROP:
4160     if (cond == OK) return FAIL_DROP;
4161     break;
4162
4163     case ACL_REQUIRE:
4164     if (cond != OK) return cond;
4165     break;
4166
4167     case ACL_WARN:
4168     if (cond == OK)
4169       acl_warn(where, *user_msgptr, *log_msgptr);
4170     else if (cond == DEFER && (log_extra_selector & LX_acl_warn_skipped) != 0)
4171       log_write(0, LOG_MAIN, "%s Warning: ACL \"warn\" statement skipped: "
4172         "condition test deferred%s%s", host_and_ident(TRUE),
4173         (*log_msgptr == NULL)? US"" : US": ",
4174         (*log_msgptr == NULL)? US"" : *log_msgptr);
4175     *log_msgptr = *user_msgptr = NULL;  /* In case implicit DENY follows */
4176     break;
4177
4178     default:
4179     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "internal ACL error: unknown verb %d",
4180       acl->verb);
4181     break;
4182     }
4183
4184   /* Pass to the next ACL item */
4185
4186   acl = acl->next;
4187   }
4188
4189 /* We have reached the end of the ACL. This is an implicit DENY. */
4190
4191 HDEBUG(D_acl) debug_printf("end of %s: implicit DENY\n", acl_name);
4192 return FAIL;
4193 }
4194
4195
4196
4197
4198 /* Same args as acl_check_internal() above, but the string s is
4199 the name of an ACL followed optionally by up to 9 space-separated arguments.
4200 The name and args are separately expanded.  Args go into $acl_arg globals. */
4201 static int
4202 acl_check_wargs(int where, address_item *addr, uschar *s, int level,
4203   uschar **user_msgptr, uschar **log_msgptr)
4204 {
4205 uschar * tmp;
4206 uschar * tmp_arg[9];    /* must match acl_arg[] */
4207 uschar * sav_arg[9];    /* must match acl_arg[] */
4208 int sav_narg;
4209 uschar * name;
4210 int i;
4211 int ret;
4212
4213 if (!(tmp = string_dequote(&s)) || !(name = expand_string(tmp)))
4214   goto bad;
4215
4216 for (i = 0; i < 9; i++)
4217   {
4218   while (*s && isspace(*s)) s++;
4219   if (!*s) break;
4220   if (!(tmp = string_dequote(&s)) || !(tmp_arg[i] = expand_string(tmp)))
4221     {
4222     tmp = name;
4223     goto bad;
4224     }
4225   }
4226
4227 sav_narg = acl_narg;
4228 acl_narg = i;
4229 for (i = 0; i < acl_narg; i++)
4230   {
4231   sav_arg[i] = acl_arg[i];
4232   acl_arg[i] = tmp_arg[i];
4233   }
4234 while (i < 9)
4235   {
4236   sav_arg[i] = acl_arg[i];
4237   acl_arg[i++] = NULL;
4238   }
4239
4240 ret = acl_check_internal(where, addr, name, level, user_msgptr, log_msgptr);
4241
4242 acl_narg = sav_narg;
4243 for (i = 0; i < 9; i++) acl_arg[i] = sav_arg[i];
4244 return ret;
4245
4246 bad:
4247 if (expand_string_forcedfail) return ERROR;
4248 *log_msgptr = string_sprintf("failed to expand ACL string \"%s\": %s",
4249   tmp, expand_string_message);
4250 return search_find_defer?DEFER:ERROR;
4251 }
4252
4253
4254
4255 /*************************************************
4256 *        Check access using an ACL               *
4257 *************************************************/
4258
4259 /* Alternate interface for ACL, used by expansions */
4260 int
4261 acl_eval(int where, uschar *s, uschar **user_msgptr, uschar **log_msgptr)
4262 {
4263 address_item adb;
4264 address_item *addr = NULL;
4265
4266 *user_msgptr = *log_msgptr = NULL;
4267 sender_verified_failed = NULL;
4268 ratelimiters_cmd = NULL;
4269 log_reject_target = LOG_MAIN|LOG_REJECT;
4270
4271 if (where == ACL_WHERE_RCPT)
4272   {
4273   adb = address_defaults;
4274   addr = &adb;
4275   addr->address = expand_string(US"$local_part@$domain");
4276   addr->domain = deliver_domain;
4277   addr->local_part = deliver_localpart;
4278   addr->cc_local_part = deliver_localpart;
4279   addr->lc_local_part = deliver_localpart;
4280   }
4281
4282 return acl_check_internal(where, addr, s, 0, user_msgptr, log_msgptr);
4283 }
4284
4285
4286
4287 /* This is the external interface for ACL checks. It sets up an address and the
4288 expansions for $domain and $local_part when called after RCPT, then calls
4289 acl_check_internal() to do the actual work.
4290
4291 Arguments:
4292   where        ACL_WHERE_xxxx indicating where called from
4293   recipient    RCPT address for RCPT check, else NULL
4294   s            the input string; NULL is the same as an empty ACL => DENY
4295   user_msgptr  where to put a user error (for SMTP response)
4296   log_msgptr   where to put a logging message (not for SMTP response)
4297
4298 Returns:       OK         access is granted by an ACCEPT verb
4299                DISCARD    access is granted by a DISCARD verb
4300                FAIL       access is denied
4301                FAIL_DROP  access is denied; drop the connection
4302                DEFER      can't tell at the moment
4303                ERROR      disaster
4304 */
4305 int acl_where = ACL_WHERE_UNKNOWN;
4306
4307 int
4308 acl_check(int where, uschar *recipient, uschar *s, uschar **user_msgptr,
4309   uschar **log_msgptr)
4310 {
4311 int rc;
4312 address_item adb;
4313 address_item *addr = NULL;
4314
4315 *user_msgptr = *log_msgptr = NULL;
4316 sender_verified_failed = NULL;
4317 ratelimiters_cmd = NULL;
4318 log_reject_target = LOG_MAIN|LOG_REJECT;
4319
4320 #ifdef EXPERIMENTAL_PRDR
4321 if (where == ACL_WHERE_RCPT || where == ACL_WHERE_PRDR )
4322 #else
4323 if (where == ACL_WHERE_RCPT )
4324 #endif
4325   {
4326   adb = address_defaults;
4327   addr = &adb;
4328   addr->address = recipient;
4329   if (deliver_split_address(addr) == DEFER)
4330     {
4331     *log_msgptr = US"defer in percent_hack_domains check";
4332     return DEFER;
4333     }
4334   deliver_domain = addr->domain;
4335   deliver_localpart = addr->local_part;
4336   }
4337
4338 acl_where = where;
4339 rc = acl_check_internal(where, addr, s, 0, user_msgptr, log_msgptr);
4340 acl_where = ACL_WHERE_UNKNOWN;
4341
4342 /* Cutthrough - if requested,
4343 and WHERE_RCPT and not yet opened conn as result of recipient-verify,
4344 and rcpt acl returned accept,
4345 and first recipient (cancel on any subsequents)
4346 open one now and run it up to RCPT acceptance.
4347 A failed verify should cancel cutthrough request.
4348
4349 Initial implementation:  dual-write to spool.
4350 Assume the rxd datastream is now being copied byte-for-byte to an open cutthrough connection.
4351
4352 Cease cutthrough copy on rxd final dot; do not send one.
4353
4354 On a data acl, if not accept and a cutthrough conn is open, hard-close it (no SMTP niceness).
4355
4356 On data acl accept, terminate the dataphase on an open cutthrough conn.  If accepted or
4357 perm-rejected, reflect that to the original sender - and dump the spooled copy.
4358 If temp-reject, close the conn (and keep the spooled copy).
4359 If conn-failure, no action (and keep the spooled copy).
4360 */
4361 switch (where)
4362 {
4363 case ACL_WHERE_RCPT:
4364 #ifdef EXPERIMENTAL_PRDR
4365 case ACL_WHERE_PRDR:
4366 #endif
4367   if( rcpt_count > 1 )
4368     cancel_cutthrough_connection("more than one recipient");
4369   else if (rc == OK  &&  cutthrough_delivery  &&  cutthrough_fd < 0)
4370     open_cutthrough_connection(addr);
4371   break;
4372
4373 case ACL_WHERE_PREDATA:
4374   if( rc == OK )
4375     cutthrough_predata();
4376   else
4377     cancel_cutthrough_connection("predata acl not ok");
4378   break;
4379
4380 case ACL_WHERE_QUIT:
4381 case ACL_WHERE_NOTQUIT:
4382   cancel_cutthrough_connection("quit or notquit");
4383   break;
4384
4385 default:
4386   break;
4387 }
4388
4389 deliver_domain = deliver_localpart = deliver_address_data =
4390   sender_address_data = NULL;
4391
4392 /* A DISCARD response is permitted only for message ACLs, excluding the PREDATA
4393 ACL, which is really in the middle of an SMTP command. */
4394
4395 if (rc == DISCARD)
4396   {
4397   if (where > ACL_WHERE_NOTSMTP || where == ACL_WHERE_PREDATA)
4398     {
4399     log_write(0, LOG_MAIN|LOG_PANIC, "\"discard\" verb not allowed in %s "
4400       "ACL", acl_wherenames[where]);
4401     return ERROR;
4402     }
4403   return DISCARD;
4404   }
4405
4406 /* A DROP response is not permitted from MAILAUTH */
4407
4408 if (rc == FAIL_DROP && where == ACL_WHERE_MAILAUTH)
4409   {
4410   log_write(0, LOG_MAIN|LOG_PANIC, "\"drop\" verb not allowed in %s "
4411     "ACL", acl_wherenames[where]);
4412   return ERROR;
4413   }
4414
4415 /* Before giving a response, take a look at the length of any user message, and
4416 split it up into multiple lines if possible. */
4417
4418 *user_msgptr = string_split_message(*user_msgptr);
4419 if (fake_response != OK)
4420   fake_response_text = string_split_message(fake_response_text);
4421
4422 return rc;
4423 }
4424
4425
4426 /*************************************************
4427 *             Create ACL variable                *
4428 *************************************************/
4429
4430 /* Create an ACL variable or reuse an existing one. ACL variables are in a
4431 binary tree (see tree.c) with acl_var_c and acl_var_m as root nodes.
4432
4433 Argument:
4434   name    pointer to the variable's name, starting with c or m
4435
4436 Returns   the pointer to variable's tree node
4437 */
4438
4439 tree_node *
4440 acl_var_create(uschar *name)
4441 {
4442 tree_node *node, **root;
4443 root = (name[0] == 'c')? &acl_var_c : &acl_var_m;
4444 node = tree_search(*root, name);
4445 if (node == NULL)
4446   {
4447   node = store_get(sizeof(tree_node) + Ustrlen(name));
4448   Ustrcpy(node->name, name);
4449   (void)tree_insertnode(root, node);
4450   }
4451 node->data.ptr = NULL;
4452 return node;
4453 }
4454
4455
4456
4457 /*************************************************
4458 *       Write an ACL variable in spool format    *
4459 *************************************************/
4460
4461 /* This function is used as a callback for tree_walk when writing variables to
4462 the spool file. To retain spool file compatibility, what is written is -aclc or
4463 -aclm followed by the rest of the name and the data length, space separated,
4464 then the value itself, starting on a new line, and terminated by an additional
4465 newline. When we had only numbered ACL variables, the first line might look
4466 like this: "-aclc 5 20". Now it might be "-aclc foo 20" for the variable called
4467 acl_cfoo.
4468
4469 Arguments:
4470   name    of the variable
4471   value   of the variable
4472   ctx     FILE pointer (as a void pointer)
4473
4474 Returns:  nothing
4475 */
4476
4477 void
4478 acl_var_write(uschar *name, uschar *value, void *ctx)
4479 {
4480 FILE *f = (FILE *)ctx;
4481 fprintf(f, "-acl%c %s %d\n%s\n", name[0], name+1, Ustrlen(value), value);
4482 }
4483
4484 /* vi: aw ai sw=2
4485 */
4486 /* End of acl.c */